itf. 競プロctf勉強会 #2 web編

ITF. 競プロCTF勉強会#2Web編

@_makky_

⾃⼰紹介

http://makky.io

ToC• CTFのおさらい•練習 1•強くなる⽅法•練習 2•まとめ

CTFのおさらい

• Capture The Flag•オンラインゲーム•コンピュータセキュリティ技術を競う競技

CTFの戦い⽅基本中の基本•良くわからない問題はとりあえずエディタで開いてみる•雰囲気で次の⼀⼿をつかめるようになる

前回の問題の例

http://cpaw.spica.bz/index.php

前回の問題の例•Q8.[Misc] Can you open this file ?

7http://cpaw.spica.bz/questions.php?qnum=8

前回の問題の例•Q10.[Forensics] River

前回の問題の例•Q11.[Network]pcap

web問題について

最も⾼レイヤー（⼤抵の場合）

Binary

ForensicsProgram

Network

幅広い知識が必要

• 有名な脆弱性• CTF特有の問題• 時事ネタ

(SDカード埋めるやつとか)

有名な脆弱性を知るWebの場合• SQLインジェクション•OSコマンド・インジェクション•ディレクトリ・トラバーサル•セッション管理•クロスサイト・スクリプティング•クロスサイト・リクエストフォージェリ•…

11http://www.websec-room.com/webappsec

CTF特有の問題•記号だけでプログラミング(JavaScript)

12http://perl-users.jp/articles/advent-calendar/2010/sym/3

CTF特有の問題• Crawling Chaos (ksnctf)

16http://ksnctf.sweetduet.info/problem/3

練習XSS Challenges• http://xss-quiz.int21h.jp/

強くなる⽅法⾃分で作ってみること•そして破壊せよ

•想定していない値を与えると？•負荷をかけ過ぎるとどうなる？

強くなる⽅法攻撃は最⼤の防御•仕組みを知らないと攻撃できない• 特に暗号、認証・通信関係

•仕組みを理解していれば正しく使える

•どんな影響が出る？

答えは1つだけ？

別の⽅法で解決することは可能？

嫌がらせする⽅法を考えるGoogleのTop pageからmakky.ioにリダイレクトしたら⾯⽩く無い？など

辞書攻撃• '"><script>alert(1)</script>

あくまでデバック⽤途です

問題は⾄る所にある

報告しよう

http://www.ipa.go.jp/security/vuln/report/

問題は⾄る所にある

報告しよう

ツールを知るOSLinux / Windows / OSX 各コマンド

BrowserInternet Explorer / Google Chrome / Firefox / Opera / 各種バージョン

Software Wireshark / Fiddler / VirtualBOX / VMware

Program LanguagePython / ruby /Perl / JS / SQL / c /

Search Engine Google / …

実習2•適当に問題を解く• http://ctf.katsudon.org/• http://ksnctf.sweetduet.info/

まとめ• CTFのweb問題について学びました

• (問題は解けなくても良いので)攻撃⼿法や対策を広く浅く知ろう

itf. 競プロctf勉強会 #2 web編

Technology

ctf workshop - university of oulu · ctf (capture the flag)...

itf.競プロctf勉強#3 ctf network ed

itf (i.c.c)

ctf 2 - diamon workgroup · 18-11-2016 · msg: “hello,...

dragons ctf

itf presentation

ilo, maritime labour convention and itf … mlc and...

itf official rules of competition (tkd-itf)

lineas51 ctf

ctf fĂurei

ctf & ketsana

ngnp ctf feasibility recommendations r0-final...

requisitos itf

itf presentation1

itf assign

ctf news briefs - michigan · ctf news briefs 6 ctf team...

ctf playing rules & bylaws - canadian tenpin federation ·...

home | itf - cpb...f-75775 paris cedex 16...

oficinas ctf

itf guide to recommended health care standards · 2. itf...