Enviar búsqueda
Cargar
Capture the flag! -タタカエ・セカイのために-
•
6 recomendaciones
•
97,005 vistas
C
cocoa_dahlia
Seguir
Java女子部2015/10/31
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 22
Descargar ahora
Descargar para leer sin conexión
Recomendados
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
cocodrips
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
AtCoder Beginner Contest 012 解説
AtCoder Beginner Contest 012 解説
AtCoder Inc.
Using Raspberry Pi GPU for DNN
Using Raspberry Pi GPU for DNN
notogawa
TensorFlow XLAの可能性
TensorFlow XLAの可能性
Mr. Vengineer
モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化
Yusuke Uchida
競技プログラミングの楽しみ
競技プログラミングの楽しみ
na_o_ys
DeNAの機械学習・深層学習活用した体験提供の挑戦
DeNAの機械学習・深層学習活用した体験提供の挑戦
Koichi Hamada
Recomendados
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
cocodrips
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
AtCoder Beginner Contest 012 解説
AtCoder Beginner Contest 012 解説
AtCoder Inc.
Using Raspberry Pi GPU for DNN
Using Raspberry Pi GPU for DNN
notogawa
TensorFlow XLAの可能性
TensorFlow XLAの可能性
Mr. Vengineer
モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化
Yusuke Uchida
競技プログラミングの楽しみ
競技プログラミングの楽しみ
na_o_ys
DeNAの機械学習・深層学習活用した体験提供の挑戦
DeNAの機械学習・深層学習活用した体験提供の挑戦
Koichi Hamada
Deep Learning with GPUs in Production - AI By the Bay
Deep Learning with GPUs in Production - AI By the Bay
Adam Gibson
20170721 future of reactive architectures
20170721 future of reactive architectures
Jamie Allen
バイナリニューラルネットとハードウェアの関係
バイナリニューラルネットとハードウェアの関係
Kento Tajiri
Scala の関数型プログラミングを支える技術
Scala の関数型プログラミングを支える技術
Naoki Aoyama
iOSエンジニアのためのScala入門
iOSエンジニアのためのScala入門
Masaya Dake
元インフラエンジニアが Scalaを触ってつまづいたところ。
元インフラエンジニアが Scalaを触ってつまづいたところ。
takako onoue
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
Phpのつたえかた (初心者編) #phpstudy
Phpのつたえかた (初心者編) #phpstudy
cocoa_dahlia
ひよこさんのための
ひよこさんのための
cocoa_dahlia
Java使いがphp使いにクラスチェンジした話
Java使いがphp使いにクラスチェンジした話
cocoa_dahlia
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
cocoa_dahlia
Keynote向けテーマ「あきいろ」作った
Keynote向けテーマ「あきいろ」作った
cocoa_dahlia
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia
Word bonch lt
Word bonch lt
cocoa_dahlia
Miyazakirb vol0 lt
Miyazakirb vol0 lt
cocoa_dahlia
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
cocoa_dahlia
OSC Tokyo/Spring Lightning Talk
OSC Tokyo/Spring Lightning Talk
cocoa_dahlia
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Más contenido relacionado
Destacado
Deep Learning with GPUs in Production - AI By the Bay
Deep Learning with GPUs in Production - AI By the Bay
Adam Gibson
20170721 future of reactive architectures
20170721 future of reactive architectures
Jamie Allen
バイナリニューラルネットとハードウェアの関係
バイナリニューラルネットとハードウェアの関係
Kento Tajiri
Scala の関数型プログラミングを支える技術
Scala の関数型プログラミングを支える技術
Naoki Aoyama
iOSエンジニアのためのScala入門
iOSエンジニアのためのScala入門
Masaya Dake
元インフラエンジニアが Scalaを触ってつまづいたところ。
元インフラエンジニアが Scalaを触ってつまづいたところ。
takako onoue
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
Destacado
(7)
Deep Learning with GPUs in Production - AI By the Bay
Deep Learning with GPUs in Production - AI By the Bay
20170721 future of reactive architectures
20170721 future of reactive architectures
バイナリニューラルネットとハードウェアの関係
バイナリニューラルネットとハードウェアの関係
Scala の関数型プログラミングを支える技術
Scala の関数型プログラミングを支える技術
iOSエンジニアのためのScala入門
iOSエンジニアのためのScala入門
元インフラエンジニアが Scalaを触ってつまづいたところ。
元インフラエンジニアが Scalaを触ってつまづいたところ。
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Más de cocoa_dahlia
Phpのつたえかた (初心者編) #phpstudy
Phpのつたえかた (初心者編) #phpstudy
cocoa_dahlia
ひよこさんのための
ひよこさんのための
cocoa_dahlia
Java使いがphp使いにクラスチェンジした話
Java使いがphp使いにクラスチェンジした話
cocoa_dahlia
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
cocoa_dahlia
Keynote向けテーマ「あきいろ」作った
Keynote向けテーマ「あきいろ」作った
cocoa_dahlia
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia
Word bonch lt
Word bonch lt
cocoa_dahlia
Miyazakirb vol0 lt
Miyazakirb vol0 lt
cocoa_dahlia
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
cocoa_dahlia
OSC Tokyo/Spring Lightning Talk
OSC Tokyo/Spring Lightning Talk
cocoa_dahlia
Más de cocoa_dahlia
(10)
Phpのつたえかた (初心者編) #phpstudy
Phpのつたえかた (初心者編) #phpstudy
ひよこさんのための
ひよこさんのための
Java使いがphp使いにクラスチェンジした話
Java使いがphp使いにクラスチェンジした話
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
TokyoWebLab.のお知らせ(JJUG CCC 懇親会LT)
Keynote向けテーマ「あきいろ」作った
Keynote向けテーマ「あきいろ」作った
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
Word bonch lt
Word bonch lt
Miyazakirb vol0 lt
Miyazakirb vol0 lt
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
OSC 2014 Tokyo/Spring LT(懇親会での没ネタ)
OSC Tokyo/Spring Lightning Talk
OSC Tokyo/Spring Lightning Talk
Último
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
Último
(10)
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Capture the flag! -タタカエ・セカイのために-
1.
Capture the Flag! -タタカエ、セキュアな世界のタメに- Dahlia* (@dahlia_cocoa)
2.
whoami • なまえ:Dahlia* • 好きなもの:Java/Web技術 ラブライブ!
/Sound Horizon Vocaloid / TRPG etc... • ぶろぐ:http://blog.moonfire.info • ついったー:@dahlia_cocoa 2015/10/31 Java Girls Halloween! 2
3.
Agenda • CTFとは • ちょっとだけチャレンジ! •
もっとやりたい人へ 2015/10/31 Java Girls Halloween! 3
4.
CTFとは? what’s “CTF”?? 2015/10/31 Java
Girls Halloween! 4
5.
CTFとは • Capture The
Flag (騎馬戦とか棒倒しみたいな、相手陣地の旗を 奪う競技みたいなやつ)の略。 • 転じて、コンピュータセキュリティ技術の競技のこと を指すことも。 – 今回はこっちの話! 騎馬戦とか知らん。 2015/10/31 Java Girls Halloween! 5
6.
CTFとは • サイバー攻撃の手段に対する知識や、 攻撃からコンピュータを守る知識などを全力投下 する競技。 • 日本ではSECCON、 海外ではDEFCON、等が有名な大会として 挙げられる。 –
ちなみにDEFCONの本戦の舞台はラスベガス。 ラスベガスやばい。 2015/10/31 Java Girls Halloween! 6
7.
CTFとは • CTFの大まかな分類 – 攻防戦形式(King
of the Hill Style) • 自分のサーバを守りつつ、他のチームのサーバを攻撃したり、 問題サーバに攻撃を加えて答えをゲットしたり、 他のチームに答えを奪われないように問題サーバを守ったり。 • とにかく大変そう(やったことない。) – クイズ形式(Jeopardy Style) • パケットキャプチャのログとか脆弱性のあるWebサイトなどな ど、出題者が準備した問題の中から、 回答となるキーワードを探し出すだけの簡単なお仕事。 • 常設のものもあるのですぐ挑戦できるよ。入門におすすめ。 2015/10/31 Java Girls Halloween! 7
8.
CTFとは • CTFの大まかな分類 – 攻防戦形式(Attack
& Defense Style) • 自分のサーバを守りつつ、他のチームのサーバを攻撃したり、 問題サーバに攻撃を加えて答えをゲットしたり、 他のチームに答えを奪われないように問題サーバを守ったり。 • とにかく大変そう(やったことない。) – クイズ形式(Jeopardy Style) • パケットキャプチャのログとか脆弱性のあるWebサイトなどな ど、出題者が準備した問題の中から、 回答となるキーワードを探し出すだけの簡単なお仕事。 • 常設のものもあるのですぐ挑戦できるよ。入門におすすめ。 2015/10/31 Java Girls Halloween! 8 今回は こっちの話だよ!!!
9.
CTFとは • CTFのジャンル(一例) – Web •
Webアプリケーションの脆弱性(XSS,SQLi等々) を突いて答えをゲット。 – ちなみにDahliaはWebくらいしかロクにできません。 Web問もロクに出来なくてひたすら泣いた日もあります。あれはきつかった。 – Network • パケットを解析し、答えをゲットする。 – Forensics • HDDとかUSBメモリのイメージファイルを解析して答えをゲット。 – Binary • とにかくバイナリを読め。きっと答えはある。 – Pwn(Pwnable) • プログラム(実行ファイル)の脆弱性を突いて挙動を変化させて答えを 見つけたりするらしい。バイナリ問と似てるとか何とか聞いたことある。 2015/10/31 Java Girls Halloween! 9
10.
CTFとは • CTFのジャンル(一例) – Web •
Webアプリケーションの脆弱性(XSS,SQLi等々) を突いて答えをゲット。 – ちなみにDahliaはWebくらいしかロクにできません。 Web問もロクに出来なくてひたすら泣いた日もあります。あれはきつかった。 – Network • パケットを解析し、答えをゲットする。 – Forensics • HDDとかUSBメモリのイメージファイルを解析して答えをゲット。 – Binary • とにかくバイナリを読め。きっと答えはある。 – Pwn(Pwnable) • プログラム(実行ファイル)の脆弱性を突いて挙動を変化させて答えを 見つけたりするらしい。バイナリ問と似てるとか何とか聞いたことある。 2015/10/31 Java Girls Halloween! 10 バイナリ系苦手なので 説明はしょります
11.
CTFとは • 前のスライドはあくまでも「一例」 – 複数のジャンルにまたがる問題や、なぜか焼け焦げた QRコードを解析させる問題、トリビア問題などなど。 問題ジャンルは多種多様。 •
たぶんこれからもジャンルは増えます。 • 何が身につくか? – 問題解決能力(というかデバッグ能力)、 コンピュータに対する深い知識、 セキュリティ方面の知識は結構身につく。 – いわゆる「じわじわ効いてくる系」の技術。 2015/10/31 Java Girls Halloween! 11
12.
CTFとは • 難しい問題に最初から手を出すのはやめよう。 – SECCONの予選問題、手も足も出なくて辛かった。 –
しかし! そこで諦めたら負け! 今ある知識+αで解ける問題も、あるよ! • 今回は、とても(?)簡単な問題を紹介。 – 解説しながら解いてたら5分じゃ済まないので 今回は解き方の手順だけを雑に提示します。 おうちに帰ったら、れっつちゃれんじ。 • とあることを知ってればすぐ解けます。マジで。 2015/10/31 Java Girls Halloween! 12
13.
ちょっとだけチャレンジ! Let’s solve the
question! 2015/10/31 Java Girls Halloween! 13
14.
ちょっとだけチャレンジ! • 常設CTF(クイズ形式)のひとつ、 ksnctfから、こちらの問題をチョイスしたで。 50点問題だからきっと解ける。 http://ksnctf.sweetduet.info/problem/8 • 解き方のヒントは次のスライドにて! 2015/10/31
Java Girls Halloween! 14
15.
ちょっとだけチャレンジ • おもむろに.pcapファイルをDLする。 – .pcapという拡張子の時点でパケット読めっていわれてますね –
拡張子が突いてないときは file コマンド叩こう。 • WiresharkなりNetworkMinerなりにぶっ込む – 持ってない人はとりあえずWireshark入れとこう。 • どんな通信をしているか見てみる – Wiresharkの使い方については割愛。 • Basic認証について調べてみる – 「問題のタイトル」や「問題文」にヒントがある。 だいたいそんなもん。 • Basic認証について理解したら、もう一度通信を観察。 それで答えに繋がる手がかりはみつかるはず! 2015/10/31 Java Girls Halloween! 15
16.
ちょっとだけチャレンジ • もし業務でBasic認証を常用している人は 一度解いてみることをオススメします。 – Basic認証って本当にSecureなのかな? –
ついでにDigest認証について調べると楽しいよ! 2015/10/31 Java Girls Halloween! 16
17.
もっとやりたい人へ More! More! More!
More! More!!!!!!!! 2015/10/31 Java Girls Halloween! 17
18.
もっとやりたい人へ • 常設型CTFサイトでお勉強。 – 「ksnctf」や「akictf」でググってみよう •
SECCONの予選問題を解いてみる – 得点の低い問題は意外とアッサリ解けるかも? – WriteUp(解き方の解説)を読むだけでも勉強に なる。 • CTF for Beginners、CTF for Girls等の 勉強会に参加してみる。 – CTFプレイヤーとしてもスゴい人たちが教えてくれるよ。 – 東京の勉強会はすぐ埋まった・・・・ 2015/10/31 Java Girls Halloween! 18
19.
まとめとおまけ Conclusion 2015/10/31 Java Girls
Halloween! 19
20.
まとめ • CTFでセキュリティの知識や、それ以外の技能を身 につけることは十分可能 – ただし、外部の許可されていないサーバに向けて、CTFの ノリで攻撃を投げるのは絶対にやめろ。 •
攻撃の手段が分かれば、守るための手段や、 自分が関わってるアプリケーションの脆弱性にも目が 向けられるかも? – CTFは楽しいです。でも、攻撃だけではなく、 守ることにも注目するのも、超大事なこと。 自分たちのためにも、自社のお客様のためにも。 • CTF、難しいけど、たのしいよ! – 最近ご無沙汰だけど…… – 女性限定の勉強会・競技会もあるのでぜひ! 2015/10/31 Java Girls Halloween! 20
21.
おまけ:もーっと知りたい人のための資料 • 予選はクイズ感覚の「超高度な知恵くらべ」 http://www.atmarkit.co.jp/fsecurity/special/151c tf/ctf01.html • セキュリティ・ダークナイト(1):プレイ・ザ・ゲーム!
CTFが 問いかけるハックの意味 http://www.atmarkit.co.jp/ait/articles/0911/30/ news091.html • CTF(Capture the Flag)って何? http://www.slideshare.net/KenjiAiko/ctfcapture- the-flag • CTF超入門 (for 第12回セキュリティさくら) http://www.slideshare.net/kikuchan98/ctf- 45624362 • SECCON 2015 http://2015.seccon.jp/ 2015/10/31 Java Girls Halloween! 21
22.
Thank U for
Listening!
Descargar ahora