三村さん:2.人脈: ・CTFで知り合った仲間をCTFだけで終わりにするのはもったいない ・ダーツを投げてみた →違うところでもつながりを →尖った人たちは尖った知識で話が爆発するので #edomaesec
2016-08-06 14:12:06三村さん:3.ソフトウェアベンダとしての視点: ・「フラグを出すこと」が正解じゃない ・攻撃できることを証明して、ッキ業に対して情報提供をすることが 100% 正解ではない →会社が欲しいもの:再現方法、影響度(できれば攻撃者の悪用例も) #edomaesec
2016-08-06 14:13:21→→例えば、XSSがみつかりました、とすると、それを使って何ができるか?影響度は?開発に対して、修正のコストは?今できる改善方法は?あたりを「感じられる」かどうか #edomaesec
2016-08-06 14:15:51三村さん:参加するのであれば: ・CTF WriteUp で検索 →過去の大会の問題が出てきます →一度、こういうのを見て、一回やってみるのも良いと ・常設CTFや喫緊のCTFへの参加 ・CTFの勉強会への参加 →CTF for ビギナーズ #edomaesec
2016-08-06 14:17:10三村さん:まとめ: ・CTFで「基本的な知識を身に付ける」 →開発時・サポート時の「気付き」を得る ・「気軽に」 ・「参加したい時に」 →参加できること、が重要だと思います #edomaesec
2016-08-06 14:18:19三村さん:つまり、「下手の横好き」でいいじゃないか、と。 落語でも色々あります。 「やってみようか」は大事。 そして、それをでは今度世の中に還元していく時に、製品に対して「フラグが取れたやったー!」ではなくて、「どんな影響が?」「どんな悪用が?」を伝えると #edomaesec
2016-08-06 14:19:50会場から:企業や製品に対して、フラグを出すのではなくて、再現方法などを、とありましたが、脆弱性、Web上のサービスの場合は、どこまで攻撃ができるか、ってのがあります。実際に攻撃はできないが、どこまで試したら良いのか、と。 三村さん:かなり曖昧。 #edomaesec
2016-08-06 14:22:23