mixi Scrap Challenge 2015.1.17 に参加してきたよ。

投稿日時: 投稿者:
このエントリーをはてなブックマークに追加
Pocket

あけましておめでとうございます。@chamaharun(こばやし)です。風邪が治ってきました。

最近、「アウトプットが弱いなー。」と思うことが多々あります。なので、今年はちゃんとアウトプットしていくようにしたいと思います。

さて、この間東京に行ってきました。羽田から出たのはおよそ10年ぶりでした。

1月17日、渋谷mixiにて行われた、「mixi scrap challenge」というイベントです。

イベントの概要

スクリーンショット 2015-01-23 02.22.10

XSSやCSRFなど、有名な脆弱性を知っていても、普段は使えない(技術的にor倫理的に)けれど、あえて脆弱性が埋め込まれたサイトが用意されていて、サーバーサイドの動作を考えながら、使ったことがあるサイト(のクローン)を攻撃することができる、めったに無いイベントです。

 

 

参加したきっかけ〜参加するまで

 

仙豆さんやごみばこさんがこのイベントの経験者で面白かったし、交通費の補助もあるとのことで、「自分もやりたい!」と思い応募してみました。 ESをカキカキ。開発経験(全然ない)やWeb技術について知っていることを書きました。当時自分が作っていたWebアプリケーションのURLを貼ったら、会員登録して様子を見に来てくれました。開発途中で「ごめんなさい。まだ出来てないんだ。」ってメールするのが辛かったです。

 

2週間後

 

スクリーンショット 2015-01-23 02.42.49

 

セキュリティ系のイベントで応募用紙出して選考落ちするのは初めてではなかったので、今回は抽選とはいえ、「セキュリティやっぱり向いてないんだろうか」と悩んだりしました。 年が明けて1月。告知を見つけます。やはり諦めません。「抽選なら数撃ちゃ当たるはずだ」と無駄にポジティブにもう一度応募してみることにしました。

 

ところが、

 

event_nothing

 

応募フォームがありませんでした。焦って締め切り間際に問い合わせてみると、一度応募した人は抽選の当落にかかわらず、応募フォームを表示しないようにしていたとのこと。「もしよかったら前回応募してくれたESを抽選キューに追加しとくけど、どうする?」ってメールが来たので、「こっちのESを使って下さい」と更新版を添えて送ったら当選しました。

 

スクリーンショット 2015-01-23 02.58.00

 

一度落選しても諦めずに問い合わせフォームから応募してみるのが良いと思います。 イベント一週間前に当選通知が来たのですが、何より飛行機と宿を取るのが大変でした。当日券とかクソ高いのでスカイメイトで行くことにしました(これが後で後悔することになる)。宿も東京に着くまで取れませんでした。幸いにもイベント2日前に出発していたのでイベントに出れなくなることはありませんでした。

ScrapChallenge当日 受付〜競技

早く着きすぎたので青学あたりをウロウロしていたら、センター試験当日だったので受験生と間違われました。

2015-01-17 10.03.33

 mixiの入っているビルはお洒落でした。

2015-01-17 09.55.51

 

自分の名前が印刷された紙が置いてある席に誘導されます。名札も渡されます。

2015-01-17 17.38.23

ほとんどのテーブルが3人で一かたまりのチームに分かれていました。僕はAチームです。残り二人は筑波の院生@als_uzさんとteradaさんでした。お二人とも学校では開発をガリガリやられていて、開発経験ほぼ0の僕は最初アウェイ感を感じていました。

後に明かされるのですが、今回のチーム編成は地域ごとだそうで、僕が最北端、その次が茨城だそうです。どうした東北勢。

チュートリアルはmixiの実体験に基いた説明がされました。コードのレビューなども行い充分な対策をしつつ、かつ必要な部分に的を絞ってスマートに注力をする、というものでした。何度も「はまち」と聞いててお寿司が食べたくなりました。

ちなみにお昼ごはんは釜飯が出ました。

2015-01-17 12.24.14

お昼からは、チーム対抗で実践編が始まりました。slackにチームメンバーと採点者がいて、採点者宛にmentionを送ると点数が加算される仕組み。強いて言うならWEBのみのCTFみたいな感じです。自分で解けない問題はチームの二人と相談してワイワイやりました。

2015-01-17 16.34.19

 

困ったときにはチューターの方がヒントをくれたりして、消耗せず楽しめました。

妨害コンテンツもありました。松岡修造など、SECC○Nでよく使われる物が中心でした。音と映像だけでなくTシャツまでもが妨害コンテンツでした。

 

XSSやSQLiなど、CTFで出題されても少しひねられた程度で爆死してたので、注入するコードを工夫しながら試し、正解できて達成感を味わうことが出来ました。

 

その後

火星に行く方のお話や、懇親会がありました。懇親会では、多くの開発ガチ勢と交流出来ました。「俺{}(中括弧)大好きなんです」とか「P○rlのここがダメだ!」など、ついて行けなくなる程話が濃かったです。

また、@mrmtさんからのお話で、AWSにクローンサイトを置いているんだけど、AWSではトラフィックを監視していて、悪意のあるコードを検知すると弾いたりするので、こういったイベントをやったりペネトレしたりするときは前もって届け出しておく必要があるとのこと、勉強になりました。

参加してみて&参加を検討している人へ

同じ世代のはずなのに参加者の皆さんレベル高くて刺激になりました。もっともっと技術を深めていきたいなーと思いました。

採用の田中さん曰く、このイベントはガチの採用イベント、というより参加者の中でこのイベントをきっかけに開発やセキュリティの技術、mixiの取り組みに関心を持ってもらうという方に重きを置いているのだそうです。中には高校生からの問い合わせも案外あるようだけど、ESを書くってこと自体が一つのハードルになっているらしいです。

自分の場合、大したことは書けなかったけど、ESを書くことによって自分が経験したこと、苦労したこと、思ってることなどを整理できたので書いてよかったなーと思っています。

地方勢が気になるのに全然情報がない交通費についてですが、利用したルートに関係なく計算され、現金の入った封筒が当日渡されます。自分の場合はAirDOのスカイメイトで往復出来るぐらいの額が入っていました。LCCだと宿泊費も出せるのかな?東京に前々日入りして観光したりできるのでオススメです。

ただし、飛行機は往復で取っておいた方がいいです。特に冬。欠航と振替と遅延でカオスな事になります。

2015-01-19 13.13.24

 

 

 

Related posts:

  1. 「.tk」ドメインについて。
  2. 学祭でCTFしてみた【運営側WriteUp編】
  3. #02 Hokkaido CTF 勉強会(Hackathon)に参加しました。
  4. IPMIとは何か。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

キャプチャ画像

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>