1 - 40 件 / 50件
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■しかく 免責事項 本記事は、ドラマ中の技術
例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
22 Hacking Sites To Practice Your Hacking Skills �8�U Taken from: https://hackerlists.com/hacking-sites/ 22 Hacking Sites, CTFs and Wargames To Practice Your Hacking Skills InfoSec skills are in such high demand right now. As the world continues to turn everything into an app and connect even the most basic devices to the internet, the demand is only going to grow, so it’s no surprise everyone wan
2/2に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、11時45分ぐらいに最速で全完して1位🎉 第1回以来4年ぶりの優勝だ。昨年大会の第4回ではヒントの閲覧数で優勝を逃してしまって悔しい思いをしたので、雪辱を果たすことができ嬉しい。開始直後からずっと1位を独走できており、450名以上のプレイヤーがいる中で圧勝だったのも嬉しい。 昨年度や一昨年度はバルクが作問を担当していたが、今回はAGESTが担当していた。これまでの問題と比較すると全体的に易化したように思うが、解くにあたって発想の大きな飛躍を必要とするいわゆる「エスパー要素」のある問題はごく一部を除いて存在しておらず*1、よかったと思う。また、昨年度・一昨年度に引き続きwriteupは公開可能というのもよかった。 戦略というほどの戦略は立てていなかったけれども、とりあえずWebを見た後は全カテゴリを上から見て
[2024年4月25日 追記] Safariの動作について考慮漏れがありましたので、一部追記・編集しました。 新宿にオフィスのあるClassiは、岡山在住の私のような地方在住者だけでなく、いわゆる通勤圏内に在住していてもリモートワークで働いている人が多い会社です。必然的にミーティングはいわゆるオンラインミーティングとなり、主にGoogle Meetが利用されています。 そのGoogle Meetのチャット機能、ここ1週間ぐらい「IMEで日本語に変換のために押すエンターキーで送信されてしまう」という現象が発生しています。このエントリーを読まれている時点では対応しているかも知れませんが、2024年4月22日17時時点ではその現象は続いています(Windowsでは再現しないという情報もあります)。 入力開始 変換して確定のエンターキーを押すと 送信される エンターキーに頼らない日本語入力を頑張り
こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか ? (挨拶 今回はタイトルの通り、時間のあるときにしっかり確認していきたい AWS セキュリティのコンテンツをまとめて紹介します。 この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。 AWS とセキュリティの基礎編 詳細を理解しようユーザーガイド編 じっくり読む課題ホワイトペーパー編 積読しないで参考書編 オフェンシブに挑戦編 コンテンツだけをババっと紹介してもいいのですが
CloudflareでCTOを務めるジョン・グラハム=カミング氏が、30年前のZIPファイルをクラックして解読に成功し、その方法についてブログに記しました。 John Graham-Cumming's blog: Cracking an old ZIP file to help open source the ANC's "Operation Vula" secret crypto code https://blog.jgc.org/2024/09/cracking-old-zip-file-to-help-open.html 南アフリカで反アパルトヘイト活動をしていたティム・ジェンキン氏は、かつてアフリカ民族会議(ANC)の暗号化通信システムを構築しました。その通信システムのソースコードはパスワード付きのZIP形式で保存されていたものの、ジェンキン氏はパスワードを忘れてしまったとのこと。
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
2023年8月に米ラスベガスで開催された、世界的なハッカーの祭典「DEF CON 31」。このDEF CONで催されたOSINT CTF「Recon Village CTF」において、日本のCTFチーム「pinja(ピンジャ)」が優勝を果たした。おめでとう、pinja!! ......と、まるで他人事のように書き始めてみたが、実は筆者もpinjaチームの一員なのである。そこで今回は、実際に難問に挑んだCTFチームのメンバーという視点から、優勝に至るまでの裏側を体験記としてお届けしたい。まだ「CTF」や「OSINT」といったものをよくご存じない方にも、"総合知的格闘技"としての楽しさが伝われば幸いだ。 CTFとは? Recon Village CTFとは?:知的なかけひきを楽しもう まずは「CTF」とはどんな競技なのか、簡単に説明しておこう。 「Capture The Flag(旗取りゲーム)」の頭
[PG] 縮めるだけじゃダメ [PG] 暗算でもできるけど? [PG] formjacking [PG] loop in loop [NW] 頭が肝心です [NW] 3 Way Handshake? [NW] さあ得点は? [NW] decode [WE] 簡単には見せません [WE] 試練を乗り越えろ! [WE] 直してる最中なんです [WE] 直接聞いてみたら? [WE] 整列! [CY] エンコード方法は一つじゃない [CY] File Integrity of Long Hash [CY] Equation of ECC [CY] PeakeyEncode [FR] 露出禁止! [FR] 成功の証 [FR] 犯人はこの中にいる! [FR] chemistry [FR] InSecureApk [PW] CVE-2014-7169他 [PW] 認可は認証の後 [PW] formerL
Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします! セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか? 回答者:shopper 回答者:Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか? 回答者:pizzacat83 Q.情シスからセキュリティエンジニアになるには? 回答者:akiym 回答者:moosan63 Q.Flatt Secu
今回は CTF Advent Calendar 2020 - Adventar の2日めの記事として、オススメの初心者・入門者向けCTFを紹介します。※(注記)Jeopardy形式のみ 私自身、そんなにたくさんCTFに参加できているわけではないですが、参加してみて成長のきっかけになったCTFを紹介できればと思います。最近では常設の wargame と題したCTFと同じコンセプトのgameにも取り組んでいて、これもまた面白いものがあったので紹介。 CTF始めたいけど何から手を付けていいかわからない、紹介されたCTFが難しすぎて全然解けない、ちゃんと基礎からやりたい、みたいな人の目に少しでも留まれば嬉しいです。 CTFとは? CTF TIME オールジャンル picoCTF (競技->常設) CpawCTF (常設) RiceTeaCatPanda (競技->半常設) Web The Lord of
こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」というラックグループ内CTFが開催されています。このCTFにいくつか問題を提供したので、どのように問題を作ったか、具体的にどんな問題を出題したかといったことをご紹介します。 LACCONとは どんな問題を作ったか [Web 234] Hadena Star (7 solves) 問題の概要 解法 裏話 おわりに LACCONとは 冒頭でも述べましたが、LACCONはラックグループ内で毎年開催されているCTFです。LACCONのもうちょっと詳しい話については、LAC WATCHで公開されている記事がありますので、そちらをご覧ください。
こんにちは!2021年技術部新卒研修を担当しました、秦です。社内ではがはくちゃん(5さい)と名乗っています。 2020年に引き続きオンラインベースで行われた技術部新卒研修ですが、今年は後半の部のキックオフとして社内CTFを実施しました。 昨年入社の身で大変僭越ながら、その作問・運営をさせていただいたのでその振り返りを書かせていただきます。 これからCTFの作問をするぞ〜!!でもなにをすればいいかわからないよ〜!!という2ヶ月前のわたしのような元気なエンジニアの方に届けば良いなと思っています(もしくは、エッ......カヤックって新卒研修でCTFなんかやるんだ......と思ってもらえたら良いですね)。 経緯 「今年の新卒研修担当には画伯を拉致します」 わたし「えっ?」 「画伯にはCTFを作ってもらおうとおもいます!」 わたし「えっ??」 「社内にCTF経験者特にいないから画伯だけが頼りです!」 わたし「えっ?
Photo by Shahadat Rahman on Unsplashこんにちは、Finatextグループのナウキャスト(最近HPリニューアルしたのでみてね)でデータエンジニアをしているけびんです。 前回はプログラミングコンテストの中でもアルゴリズムの力を競う競プロのTipsを紹介しました。最近CTFと呼ばれるタイプのコンテストにも興味を持ち始めたので、今回はこちらの紹介をしたいと思います! CTFとはご存知ない方もいると思いますが、CTFは "Capture The Flag" の略で、コンピュータセキュリティの技術や知識を競うコンテストです。どこかに隠されたFlag( ctf{test} 的な文字列 )を探し出し、それを提出することで得点がもらえます。最終的に獲得した総得点を競います。 ジャンル別紹介いくつかのジャンルについて簡単な紹介と、僕が読んだ参考書を紹介していきます。参考書は
隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催:「世界トップレベルのCTFを無償で体験」 NRIセキュアテクノロジーズは、ハッキングトーナメント「NRI Secure NetWars」をオンライン形式で開催する。サイバーセキュリティの知識や経験を活用し、隠されている答えを見つけ出し、時間内に獲得した合計点数を競う。
トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat
CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは:CTF問題から学ぶセキュリティ基礎知識(1) 情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか?」という問題について解説します。 CTFから何を学ぶか 近年、テレワークの普及やデジタルトランスフォーメーションの促進により、あらゆる業務が情報システムに移行しつつあります。それらの情報システムを扱う全ての人にとって、セキュリティ知識はなくてはならないものです。一従業員にも容赦なくマルウェアが添付されたメールが届きますし、ささいな操作ミスでも重要な情報が全世界に漏えいする可能性があります。個人のSNS利用が重大なセキュリティ違反を起こす場合もあります。 ところで読者の皆さんは「CTF(
個人で練習練習用サイトで取得したフラグを入力する事で簡単に検証する事ができます。 クリアした結果は保存され、いつでも確認する事ができます。 実践で学ぶ問題形式のCTFとは異なり、実践にフォーカスしたCTF練習サイトです。 難易度で別れた練習サイトから、フラグを探し出す必要が有ります。 難易度ごとに別れているため、入門としても利用できます。
この記事は GMO ペパボエンジニア Advent Calendar 2020 の12日目の記事です。 昨日は @takutaka さんの 「Kubernetes Custom Controller を手抜きで作る技術」でした。 CRD や Custom Controller を作る際に役立つ情報が載っていて良い記事ですね。 さて、最近私は Open Policy Agent を触ることが多いので、それについて書こうと思っていたのですが、せっかく会社の Advent Calendar なので少し業務でやったことを書こうと思います。 私は GMO ペパボのセキュリティ対策室という部署で、サービスを横断してセキュリティ対策の基盤作りをしています。 セキュリティ対策と一口に言っても、その内容は多岐にわたりますが、エンジニアのセキュリティレベルの向上支援も業務のひとつです。 例えば年に一度はセキュ
CTFとかBoot2Rootとか競技化(ゲーム化)されたセキュリティ関連の情報をまとめておく。実世界では使わないこと。WriteupとかWalkthroughとか(どちらも問題解説のこと)はSecurity カテゴリーの記事一覧 - はまやんはまやんはまやんに大量にあるので、漁ってください。 CTF (jeopardy) 各ジャンルのセキュリティ問題が一問一答形式で出題される。 Web CTFにおけるWebセキュリティ入門とまとめ - はまやんはまやんはまやん CTFのWebセキュリティにおけるHTTP通信まとめ(HTTP, Request Smuggling, Response Splitting, HTTP2) - はまやんはまやんはまやん CTFのWebセキュリティにおける認証認可まわりまとめ(Cookie/Session、Authentication/Authorization、J
はじめに Fuzzingの概念 なぜ自分でFuzzerを書くのか 実際に問題を解く dual - ユーザーランドプログラムのFuzzing Step 1. Fuzzerの方針を立てる Step 2. テストケースを最適化する Step 3. 問題を解く spark - カーネルドライバのFuzzing Step 1. Fuzzerの方針を立てる Step 2. 再現性のあるテストケースを見つける Step 3. 問題を解く atoms - カーネルドライバのFuzzing(マルチスレッド) Step 1. Fuzzerの方針を立てる Step 2. 問題を解く cgi - CGIのFuzzing Step 1. Fuzzerの方針を立てる Step 2. 解きたい telescope - Fuzzingの結果から攻略法を考え直す Step 1. Fuzzerの方針を立てる Step 2.
先日、AWSのセキュリティに関するコミュニティ「Security-JAWS」にて、AWS環境に特化したCTFが開催されました。 これが超超超楽しくて、学びにもなったとてもいいイベントだったので、少し時間が経ってしまいましたが、writeup兼ふりかえり記を残します。 ちなみに私はCTF初挑戦でAWSも入門書を1周したくらいの知識しかありません。しかし問題の構成がよく練られていたので、私のような初心者でも時間いっぱいじっくりと楽しむことができました(GPTを駆使しつつですが)。 CTFの環境構築に作問に、と、これを準備するのは相当大変だったと思うのですが・・・運営の方々には本当に感謝です! 問題はTrivia、Warmup、Easy、Medium、Hardの5ランクに分かれていて、私はTrivia、Warmup、Easyランクの問題に挑戦しました。 緑色が正解した問題です TriviaはAW
サイバーセキュリティ事業本部 執行役員の小池です。 タイトルの通り、Intel 社が発表・実装している防御機構である Intel CET を Linux ユーザーランド上である程度汎用的にbypass(回避)するテクニックを発見したので、紹介します。 本手法は、調べた限りでは現時点で明示的に言及している文献はありませんが、今後 Intel CET が普及するにつれて一般的に使用されると予想されます。 また、本手法を題材とした問題を IERAE CTF 2024 にて出題しました。その問題解説も行います。 前提知識 ROP まず、ソフトウェアセキュリティ分野において、デファクトスタンダードな攻撃手法である ROP (Return-Oriented Programming) について簡単に説明します。 ROP は、攻撃者がメモリ破壊などによりプログラムスタックを操作可能になった時、任意のコード
みなさん、こんにちは。のりあき(@v_avenger)です。 2021年6月にUdemyにて講師デビューし、106日目にして受講生 1,000名越えのマイルストーンを達成しました。 3, 2, 1, ... 🎉 マイルストーンの一つ #Udemy コースの受講生 1,000名 超え達成しました✨ 受講いただいている皆様、ありがとうございました。 2021年6月23日 に講師デビューし 106日目 の出来事でした。 pic.twitter.com/7e3EwANrlc — Noriaki Hayashi (@v_avenger) October 8, 2021 2021年10月現在、2つのコースをリリースしています。 ・【はじめてのフラグ獲得】Boot2Root CTFチャレンジで学ぶハッキングの手口とローカル特権昇格 ・【はじめてのフラグ獲得】Boot2Root CTFチャレンジで学ぶハッキン
[crypto] Simple Substitution Cipher [crypto] Substitution Cipher [crypto] Administrator Hash(NTLM hash) [crypto] Administrator Password [crypto] Hash Extension Attack [forensics] The Place of The First Secret Meeting [forensics] The Deleted Confidential File [forensics] They Cannot Be Too Careful. [forensics] The Taken Out Secrets [forensics] Their Perpetration [NW] Transfer [NW] Analysis [NW] Enu
当社では社内CTFを2020年度から開催しており今年度も開催予定ですが、昨年度に筆者が出題した問題についてご紹介したいと思います。 ご紹介する問題は、昨年度の社内CTF開催前に実施された大和セキュリティ勉強会主催のCTFで出題したものを一部カスタマイズしたものです。ちなみに、大和セキュリティ勉強会は2012年から開催されており、「大和魂の皆様のためのワイワイ楽しく合法ハッキングしながら実践的なスキルを身につけるセキュリティ勉強会」です。大和セキュリティ勉強会主催のCTFは、とあるアニメの世界観を踏襲したものになっており、出題した問題もそのアニメの中で2つの巻物を取得することで課題をクリアできるというストーリーを参考に作成しました。出題した2つの問題のうち、最初に解くべき問題(MakimonoHeaven)について解説したいと思います。 MakimonoHeavenは、batファイル、Pow
1. はじめに こんにちは、morioka12 です。 本稿では、CTFtime のイベントに記載されている2022年に開催された CTF のイベントで、Cloud に関する問題をピックアップして攻撃手法やセキュリティ視点での特徴について紹介します。 また、昨年の2021年版は以下で紹介していますので、良ければこちらもご覧ください。 昨年のブログでは、各サービスにセキュリティ的な視点で紹介しましたが、今回は説明が重複するため、各問題に焦点を当てて大まかに紹介します。 scgajge12.hatenablog.com 1. はじめに 1.1 調査対象 2. Cloud 環境におけるセキュリティ視点 2.1 脆弱性攻撃によるクレデンシャルの取得 Amazon EC2 AWS Lambda 2.2 設定不備やハードコーディングによるクレデンシャルの取得 Amazon S3 Amazon RDS
1. はじめに こんにちは、morioka12 です。 本稿では、CTFtime のイベントに記載されている2021年に開催された CTF のイベントで、Cloud に関する問題をピックアップして攻撃手法やセキュリティ視点での特徴について紹介します。 また、同様に Hack The Box の Lab で Cloud に関する問題は、以下のブログで紹介しているので、良ければこちらもご覧ください。 scgajge12.hatenablog.com 1. はじめに 1.1 調査対象 1.2 Public Cloud Service 2. AWS (Amazon Web Services) 2.1 Amazon EC2 (Amazon Elastic Compute Cloud) 問題1 CTF event (writeup) reference 2.2 Amazon S3 (Amazon Si
この記事は、NFLaboratories Advent Calendar 2022 1日目の記事です。 こんにちは、研究開発部の保要 (@takahoyo) です。 弊社の公式Twitterでもアナウンスがあったとおり、7月に弊社のエンジニア14名でHack The Box 主催の Hack The Box Business CTF 2022 (以下、Business CTF)に出場していました。 #NFLabs エンジニア14名で企業対抗の #HackTheBox #BusinessCTF22 に参加し10位(日本企業1位)でした! (参加チーム数 657、プレイヤー数 2,979) メンバーが協力して 24/37 の Flag を取得しました。 Fullpwn 3/8, Web 4/5, Pwn 2/5, Crypto 5/6, Rev 4/5, Forensics 4/5, Hard
こんにちは。DEF CON 30のCar Hacking Village(CHV)のCTFにチーム名tyt4001として参加してきました。公式な結果としては総合4位となっているものの、タイトルに挙げた通りもともと発表されていたルールに則った採点結果では首位でした。本件、採点内容が確定するまでに紆余曲折がありました。本ブログではCHV運営側へのコメントおよび今後DEF CON CHVへの参加を検討している方々への注意喚起も含めて、今回の経緯と顛末を記したいと思います。 幻のスコアボード 1. CTFの開催スタイル DEF CON 30におけるCHVのCTFは現地参加とオンライン参加のハイブリット開催とされており、現地でしか解答できない問題とオンラインからも解答できる問題とに分かれていました。我々tyt4001は当社から参加するメンバー4名とパートナー企業から2名の計6名チームで参
デジタルペンテストサービス部でスマートフォンアプリケーション診断を担当しているlac01です。本稿では、AndroidのCTFであるhpAndro Vulnerable Application (Kotlin) CTF(以降、hpAndro CTF)をご紹介します。 hpAndro CTFとは、Hiral Patel氏とRAVIKUMAR R. PAGHDAL氏によって作成されたCTF(Capture The Flag)です。OWASP Mobile Security Testing Guideをベースに作られた脆弱なAndroidアプリケーションを攻略し、ポイントを競い合います。ただし、hpAndro CTFは、一般的なCTFとは異なり、時間制限がなく勝ち負けもありません。そのため、自分のペースで進められ、問題を解くことでポイント獲得が出来るため、ゲーム感覚でセキュリティを学べます。また
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く