久しぶりの投稿ですね。
今回は広島から奈良であったCTF for Beginner Attack & Defenseに行って来ました！
CTF for Beginnerは、2回目の参加ですヾ(*´▽｀*)ﾉ
Attack & Defenseは、初でどのような感じに攻撃を行い、どのような感じで防御を行うのか？ということが分からなく大丈夫か不安でしたが、楽しかったので良かったです。
午前中には、服部さんと小出さんの講義がありました。服部さんは、Webに関しての攻撃や防御についての講義でした。「パスワードをsha1やmd5でハッシュ化していたのをsaltで最低限行おうね」ということや「権限がないのにアクセスできるよね、adminかどうか確認しようね」などおっしゃってました。小出さんは、SSHなどのお話をしていらっしゃったんですが、僕は知識不足でついていけなかった気がします笑

本題ですが、今回のCTFでは、WebアプリケーションやSSHに攻撃&防御をするというものでした。WebアプリケーションはFuelPHPで作成されていました。もちろん脆弱なところはいっぱい作ってあったようです。今回参加した参加者にWebアプリケーションをフレームワーク用いて作成したことある人がほぼいない感じで、私はもともとCTFよりはスクリプト言語でWebアプリケーションを作ってたりしており、Laravelというフレームワーク使ったこともあるので有利かなと思ってたんですが、そんな甘い話じゃなく、まだまだ知識不足だと感じましたw

今回Webアプリケーションは、/admin/customersのようにadminを入れるとすべての顧客情報を取得でき、それに関して防御がほぼ出来ているチームがいなかった気がします。それ以外にも顧客情報を取得する方法はあるのですが、ちょっと攻撃以外にも防御する能力というのが必要に感じました。
私が参加したチームでは、相手のラズパイにSSHで接続してSQLのバックアップファイルを取得したりしましたが、そのデータを点数となる形式に直すことが上手くできなくて色々考えている間に敵チームにドンドン取られていきました。変換プログラムをいかに早く作るだけではなく、攻撃して相手の情報を取得することなどにおいて、時間の早さがどれだけ大切かということが分かりました。

なんか読みづらい文章にはなりましたが、こんな感じです。Attack & Defenseは初めてでしたが、楽しくできました。次参加できることがあればドンドン参加していきたいなと思いました。