azarasecJAWSって何?
Security JAWSの持ち込み企画で、AzaraさんがS3にXSSをして、セキュリティの事を学び、ちゃんとした設定をしようね。 と持ち込みを企画をされたCTFです。
Security JAWS等のJAWSは今回からConnpassへ移植されて募集することになりましたね。 メンバーがリセットされてしまってるので、是非ご参加いただければと思います。
どんな事をやるのか
実際に用意されたcloudftont+S3という、よくフロントエンドで使われるサイトで起きやすい、クロスサイトスクリプトを実際に実施してみる。 それでFlagをみつけて入力して次の問題に行く。 という感じでした。
結果
当イベント内では、一応3問(Introduction)を行えば優秀と言うことでしたが、私は1問も 解答 が出来なかったのがちょっと悔しかったです。 と、いうのも、情報収集やこういう攻撃手法がある。というのは情報を得ていましたが、実際にやってみるのは違うなということ。
今回対象となった環境
- aws cloudfront + S3で作られているサイト
- ファイルをアップロードする機能がある
- 管理機能も有るが、それは
Lambdaでクロールしている - レポート機能がある
このCTFで使ったツール
- BurpSuite
- 一般的にはWebアプリケーションのセキュリティテストを行うツール
- 開発におけるセキュリティテストやペネトレーションテストにも利用されている。
- テストの自動化や、HTTP/HTTPS通信のキャプチャ、各疑似攻撃、乱数の品質チェックや改ざんと言った事も実施可能
- 参加前に解いてねと言われていた練習問題
今後
こういったctf型のイベントは参加することがあまり無かったので、とても勉強になる反面、自社内でも出来ないかなぁ。とかちょっと思っちゃってりしています。 中々興味持ってもらえないのが悔しいところ。 また、実践形式でやる分学びもとても多かったです。また、実施の際は行きたいなと思っています。
