mixi ScrapChallengeに参加してきました

事の発端

Scrap Challenge 2014 | 株式会社ミクシィ 学生向けエンジニアイベント

なにやら合法的にクラッキング的なことを実践しながら学べるイベントが有るということで、参加してきました。

イベントの内容

午前中は、脆弱性やその対策などに関するレクチャーでした。例えばXSSとかCSRFとかSQLインジェクションがどういう脆弱性で、どうしてそれが起こってしまって、どうすれば対策できるのかなどのお話をしていただきました。

この辺りは、普段の授業で(結構最近ですけど)ちらっと聞いたこともあったのですが、リアリティあふれる事例込みでお話して頂けたのでより「あ、やべえなこれ」感が出ました。

午後からは、mixiっぽいSNSにチーム対抗で攻撃を仕掛けます。幾つか問題が出されるので、それにそって自分で工夫しながら攻撃を仕掛けるといった形です。一番攻撃できたチームが優勝です。

難易度に関しては結構バランスが良くて、時間がたつのはあっという間でした。全問解けるチームは数年やってて1か2チームだとか。個人的な得意不得意もなんとなく見えてきて、「あ、僕こういう攻撃ならすらすら考えられそうだな」みたいな。

問題や回答については内緒です。1月にもあるそうなので、是非参加して確かめてみてください。

感想とか

なにより合法的に攻撃できるのが楽しい。いや、これ良くないんですけど(笑)実際セキュリティとか、脆弱性って「結局どうなったらヤバイの?」みたいなところを言葉で説明されてもなんとなくわかりにくいような気がしています。実際に攻撃受けるとか、あるいは自分が攻撃して、「嗚呼、なるほど確かにヤバイな」みたいなところを肌で感じることが出来たのは非常に貴重な経験でした。

ちなみに休憩時間に、自分がPBLで取り組んでいたプロダクト(ローカルサーバ)に対してもちょっと攻撃してみましたが意外とガード堅かったです。さすがRails(?)