OSC Hokkaidoに行ってきました。
Ruby札幌の主催でRubyOnRailsのセキュリティハンズオンと、Ruby札幌の発表の両方。
セキュリティハンズオンの方は、
会場に設置されているPCを利用して、
デモ用のRailsアプリから脆弱性を発見するというもの。
PC持ち込み可とのことだったんで、ノートを持って行ったけど、
会場の都合で利用不可。
Ruby札幌の皆さんが備え付けのPCにサーバーをたててデモアプリを動かす予定が、
これも会場の都合で無理だったようです。
持ち込みノートにアプリを用意して、Telnetでログインして利用しました。
僕もこの会場を使ったことがあったけど、
ちょっと難しいことをしようとすると全くだめです。
で、ハンズオンは脆弱性発見組とRailsの基礎編の二組に分かれましたが、
脆弱性発見組は僕を含め二人だけ。
もっといるかと思ったけど、ほとんどの人がRails基礎編でした。
初めてすぐXSSとCSRF脆弱性は発見できました。
それから、本来さらされていないshowメソッドが叩けたので、
それを叩くと隠してあったsecurity属性が表示できました。
で、それをテキストエリアから属性をいじってみるも特に何もなく。
ソースをみてみようとTelnet端末から開いてみるも、
なにせviの使えないへぼプログラマなのでソースの詳細はいじれず。
で、検索窓があるので、当然のようにSQLインジェクションを試すとできそうな予感。
SQLインジェクションでどこまでできるか試しているうちに時間切れとなりました。
どんな感じでやるのか、いまいち感じがつかめてなかったので、
もたもたしちゃいましたが、こんなことなら予習しておけばよかったとちょっと後悔。
でも、なかなか自分で作ったアプリでこんなことしないので、
すごく勉強になりました。
まとめでセキュリティについての気をつけるべきポイントや、
いいツール、プラグインなども教えてもらえてすごく幸せ。
もっと勉強会とか出ないとだめですね。
PR
