本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
7月27日(水)19時より弊社オフィスにて「第5回MBSDセキュリティ勉強会」を開催しました。
弊社は、セキュリティに興味のある学生の方やITエンジニアの方など社外の方を主な対象とした勉強会を開催しています。今回、おかげさまで5回目の開催を迎えることが出来ました。詳しくは後述しますが、以前参加したことのある方にも新たな気づきを得て頂けるよう、今回は学習内容を一新しました。
弊社がMBSD勉強会を開催する背景には、Webサイトに存在する脆弱性の探し方や再現方法を学びながら、Webアプリケーションのセキュリティや脆弱性診断への興味を深めていただくことでセキュリティエンジニアを目指す方を増やしたい、さらには「情報セキュリティ」を軸に、弊社含め皆様の交友の輪が広がればという思いがあります。そのため、本勉強会には複数名の社員も立ち会い、コミュニケーションを図りながら、以下のような構成で企画しています。
- 脆弱性の解説
(脆弱性への理解を深める) - ハンズオンによる脆弱性診断の演習
(脆弱性診断を体感し脆弱性への理解と興味を深める) - 懇親会
(セキュリティ人材の輪を広げる)
それでは、第5回勉強会の概要を紹介します。前回までは、SNSサイトにおける「パラメータ改ざん」の脆弱性による不正行動を講義対象としていましたが、今回は「SQLインジェクション(以下SQLi)」と「クロスサイトスクリプティング(以下XSS)」を講義の対象としました。SQLiやXSSは、セキュリティに触れたことのない人でも1度は耳にしたことのある脆弱性ではないでしょうか。また、この2つは有名な脆弱性ですが、以下のような疑問を持っている方が多いのではないでしょうか。
- 何となく知ってはいるけれど、詳しい原理は?
- どのようなWebサイト・機能で発生し、どのような被害・影響が起こるの?
このような疑問を本勉強会の講義、デモ、ハンズオンを通じて解きつつ、より具体的に脆弱性を理解・イメージして頂けるような内容になっています。
筆者は去年まで大学に在籍しており、今年春から新卒社員として弊社に入社しました。今回は自身の研修も兼ねて一受講者として勉強会に参加しましたので、受講者としての感想も、この場を借りてお伝えさせて頂きたいと思います。
序盤の脆弱性解説に関しては、社内研修とも重複した内容でもあり、難なく理解することが出来ました。最新の攻撃手法の紹介等の発展的な内容というより、どちらかと言えば、「XSSとは?」「SQLiとは?」といった基礎的な内容を中心とした、比較的汲み取りやすいものだと感じました。
Figure 1 スライドの抜粋
XSSとはどんなものか?といった基本の説明に使われたスライドです。
後半のハンズオンは、MBSD Marketという仮想オークションサイトに対し自由な攻撃を仕掛けるというもので、時間が経つのを忘れて没頭してしまうような内容でした。筆者はいくつかのXSSを発見することに成功した一方で、SQLiを見つけることに苦労しました。SQLiの疑いのある入力フォームに対し、SQLiを裏付けるためのクエリを投げるものの想定した出力を示してくれず、その原因を必死に模索していました。どうにか見つけてやろうと躍起になっていると、とうとう時間切れとなってしまいました。SQL文への理解が甘かったと痛感したため、これからまた勉強に励みたいと思います。
この仮想ショッピングサイトには簡単に見つかる脆弱性が多い一方、多数の脆弱性が潜んでいるため、上級者の方にとっても挑戦し甲斐のある内容となっていたのではないでしょうか。
また、ハンズオン終了後には懇親会を開催しました。懇親会では、積極的に交友を深める方、食事を楽しむ方、食事よりもハンズオンに熱中する方など様々な方がおり、それぞれの形で懇親会を楽しんでいただけたと思います。
Figure 2 懇親会の様子
実施後のアンケートでは、参加者の73%の方から次回の勉強会も「是非参加したい」との回答をいただきました。第6回ではテーマを変更し、ネットワークのセキュリティに関する内容になる予定ですので、ご興味ある方はぜひDoorKeeperのMBSD勉強会をフォローして下さい。
Figure 3 アンケート結果
また第1回、第2回の様子についても記事がありますので、そちらもご覧ください。
第6回の勉強会につきましても、皆様のご参加をお待ちしています。
小澤拓海
おすすめ記事