ipu LT - Introduction of CTF
- 2. 01 0402 03 はじめに くわしく 取り組む おわりに • まとめ 2 • CTFとは? • 形式とジャンル • Binary • Pwnable • Network • Web • Crypto • 必要な知識 • 勉強方法
- 3. 3 CTFとは? CTF › Capture The Flag › 「旗取り合戦」「宝探し」 › ハッキング技術コンテスト 何をする? › コンピュータセキュリティの 技術を用いて,ポイントを競い合う はじめに くわしく 取り組む おわりに
- 4. 4 形式とジャンル Jeopardy Style › 前もって用意されている問題を解く Attack/Defense Style › 個々のチームに用意されたサーバを防御する › 相手チームのサーバを攻撃する はじめに くわしく 取り組む おわりに Binary Pwnable Network Web Crypto
- 5. 5 Binary バイナリ解析! › 与えられた実行形式のファイルを解析する • ELF(Executable and Linkable Format) • EXE(EXEcution) バイナリ解析の意義 › ソフトウェアのデバッギング › マルウェア解析 はじめに くわしく 取り組む おわりに hoge.c int main(){ puts(“hello world!”); } a.out mov eax,0x1 add rax,0x2 call 80482f0 <puts@plt> Compile
- 7. 7 Pwnable はじめに くわしく 取り組む おわりに Pwnableとは › 「打ち負かす」を意味するスラング › 用意されたサーバへアクセスし,脆弱性をエクスプロイト エクスプロイトコード
- 8. 8 Network はじめに くわしく 取り組む おわりに ネットワーク › キャプチャされたパケットの解析を行う › TCP/IP, HTTP, メールプロトコルが中心 • Wireless, Bluetooth, USB通信も...
- 10. 10 Web はじめに くわしく 取り組む おわりに Web › 最も人気で,初心者でも楽しめるジャンル › 攻撃手法が多岐に渡り,奥深い › SQLやHTTP, JavaScriptの脆弱性に関する問題が中心 どんな攻撃? SQL • SQL Injection • Blind SQL Injection HTTP/サーバ系 • HTTP Header Injection • OS Command Injection • Session Fixation • Directory Traversal • Open Redirect JavaScript • XSS(Cross Site Scripting) • CSRF(Cross Site Request Forgery)
- 12. 12 Crypto Cryptography › 暗号解読を行うジャンル › 共通鍵/公開鍵暗号,ハッシュ関数,暗号化ZIP, ... Example VJNGR CERSRPGHENY HAVIREFVGL IWATE PREFECTURAL UNIVERSITY はじめに くわしく 取り組む おわりに ROT13
- 14. 14 勉強方法 書籍で勉強する › セキュリティコンテストチャレンジブック › HACKING: 美しき策謀 › 体系的に学ぶ 安全なWebアプリケーションの作り方 › 暗号技術入門 常設CTFで勉強する › Web上で公開されているCTF問題集 › ksnctf (http://ksnctf.sweetduet.info/) › 8946 (http://www.hackerschool.jp/hack/index.php) 大会に参加する › SECCON (https://2017.seccon.jp/) はじめに くわしく 取り組む おわりに
- 15. 15 まとめ CTFとは? › Capture The Flag! いろんなジャンルの問題がある › Binary, Web, Crypto, etc. 問題を解きながら セキュリティ + α の知識・技術を身に着けられる はじめに くわしく 取り組む おわりに