セキュリティマイスター道場　〜夏場所〜

Nektar @lunaticbeat15

#secdojo 時間内に終わるのか...!!

かわにっちそうり @nyachihide

ライブコーディングにライブグラフィクス #secdojo

akidsuki.cpp @akidsuki_cpp

なるほどわからん #secdojo

かわにっちそうり @nyachihide

「SECCON 2017 国際大会決勝戦問題Brainhackで遊んでみよう」 #secdojo

坂井 @kozossakai

先ほどのライブコーディングで書いた簡易パケットアナライザです．２０分だとここまでか kozos.jp/tmp/ #secdojo

ぼうさん / 外資IT魔法戦士 / Shumpei Kubo @_bou_3

#secdojo ライブコーディング！ pic.twitter.com/cf5Td26cnM

拡大

ぼうさん / 外資IT魔法戦士 / Shumpei Kubo @_bou_3

ブレインハック面白い。 #secdojo pic.twitter.com/EudO4Z684v

拡大

かわにっちそうり @nyachihide

「SQLインジェクションの見つけ方」 #secdojo

ぼうさん / 外資IT魔法戦士 / Shumpei Kubo @_bou_3

会場は、なんだか良い香りがします。 #secdojo

rita @hori_yuta1118

ハンズオンはツイートしてる暇なさそうですねw #secdojo

ぼうさん / 外資IT魔法戦士 / Shumpei Kubo @_bou_3

SQLインジェクションが始まる…！ #secdojo

かわにっちそうり @nyachihide

入力データに不正な指令を入れるのがインジェクション系攻撃 #secdojo

かわにっちそうり @nyachihide

外から不正な入力が来てますね #secdojo

ぼうさん / 外資IT魔法戦士 / Shumpei Kubo @_bou_3

#secdojo インジェクション、落語の時そばもそうですよね。

かわにっちそうり @nyachihide

バリデーションでの対策が必要だが、パターンを網羅することは難しいため、ガイドライン等を利用して網羅性、安全性を高めたセキュアプログラミングが大切 #secdojo

かわにっちそうり @nyachihide

作ったものには検査が大切。コードをチェックする静的検査と実際に動かしてみる動的検査がある。 #secdojo

かわにっちそうり @nyachihide

動的脆弱性検査ツールとしてはOWASPZAPやsqlmapがある。手動ツールFiddler,BurpSuiteなどがある。 #secdojo

かわにっちそうり @nyachihide

確かOWASPは勉強に使える脆弱なアプリサーバも公開してましたね。 #secdojo

かわにっちそうり @nyachihide

SQLインジェクションのデモ #secdojo

かわにっちそうり @nyachihide

あ、やられサイトこれだ #secdojo

Nektar @lunaticbeat15

#secdojo やられサイトを使ったデモをみてるんですが、ふと思った。 ここはやられ会場、 まさか、始まりの段階からデモを開始していた...?

かわにっちそうり @nyachihide

エラーメッセージにもどういう構成かのヒントがある場合がある。 #secdojo

かわにっちそうり @nyachihide

徳丸本も指標の1つかな #secdojo

かわにっちそうり @nyachihide

「難読化シェル芸」 #secdojo

かわにっちそうり @nyachihide

シェル芸人さんがいたwww #secdojo