2015.10.17(土) CTF for ビギナーズ2015 奈良(Attack & Defense)

概要

CTF for ビギナーズ Attack & Defenseとは、SECCON実行委員会が主催するCTFイベントの一つです。競技は攻防戦の形式で行われます。チームにはそれぞれ脆弱性のあるWebサービスが稼働するサーバ配布されます。他チームのWebサービスから情報を取ったり、サービスを停止させたりといった攻撃を行いながら、自チームが攻撃されないよう修正を加えて防御を行います。

競技の概要

最大4人までのチームに分かれて行われました。

攻防戦形式には得点の種類がアタックポイントとディフェンスポイントのの2種類あります。アタックポイントは他チームのシステムを攻撃し、擬似個人情報を抜き出し、スコアサーバ送信することで得られます。ただし、他チームが一度送信した情報を送っても得点とはなりません。攻撃を受けたチームは同じ点数を減点されます。ディフェンスポイントは、競技中に定期的に行われる、システムチェックに合格すれば得られます。

競技中

SLPからは2人で参加しました。

開始直後は可能な対策を施し、その後は2人で攻撃と防御を分担して作業しました。途中、攻撃に成功しましたが、すでに他のチームの攻撃を受けていたため得点することはできませんでした。

後半は、何度も攻撃を受けながらも、その都度サービスを復旧させ、ディフェンスポイントの確保に努めました。

感想

22チーム中6位でした。

競技ではもちろんですが、実環境の運用についても、システムを攻撃されないためには言語や環境に関する十分な理解が必要だと思いました。

出題者が意図した攻撃手法以外の手法による攻撃も多くあり、面白いと感じたとともに、対策の難しさも感じました。