セキュリティコンテスト参加の為に勉強したこと
こんにちは。Uriです。
今回は、セキュリティコンテストに参加するために、
僕が勉強したことをまとめてみます。。。
やったこと一覧
- セキュリティコンテストってなに?
- セキュリティの知識を付けよう
- 基本的なIT知識をつけなきゃいけない
- 過去問題を解いてみよう
1.セキュリティコンテストってなに?
まず、セキュリティコンテストってどんなことするの?という疑問についてです。 以下の本を購入して読んでみました。詳解セキュリティコンテスト ~CTFで学ぶ脆弱性攻略の技術
この本、とっても分かりやすかったです。 簡単なイメージとしては、 旗取り合戦や宝探しをする競技のようなイメージを持ちました笑 色んなシステムや、ファイルからFLAGと呼ばれる文字列を探しだすことで、ポイントを稼いでいくというシステム。 その文字列を探す過程で、サーバやネットワークなどにおけるセキュリティ知識を活用していくというものみたいですね。 (ざっくりとした感想ですみません笑)
2.セキュリティの知識を付けよう
セキュリティコンテストというだけあって、セキュリティ知識がないと始まらない! そこで、システムセキュリティの勉強を始めました。 使用したのは、以下の書籍。体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
この本、PHPの知識とかが前提となっているみたいで読むのに少し苦労しました。
とにかく分厚い!!!!
けど、初心者の僕でも理解できるように細かく記載があって一度目を通した後も辞書的な役割で利用したりしてました。
この本の作者さんは、徳丸浩さん。
セキュリティの業界では、有名な方でこの本の試験もあるとか。。。
(頑張って受けてみたい。。。)
3.基本的なIT知識をつけなきゃいけない
セキュリティって奥深いですよね。。。汗サーバ周り、ネットワーク周り、アプリケーションなどなど個別でセキュリティの事を考えなければならないかと思えば、個別で考えていては対策できないことも沢山あります。
セキュリティの勉強をする中で、特に認証認可と呼ばれるログインとかする機能のセキュリティは、とても興味深かったです。
これを考えるときには、SQL文の読ませ方に問題があったり、キャッシュにログイン情報が残ってしまっていたりと、セキュリティ以外の知識が沢山必要ですよね。。。
知識習熟には、セキュリティの勉強の中で並行してネットワークとアプリケーションについて勉強するようにしました。
4.過去問題を解いてみよう
ここまでくると、過去問を解いてみたいという欲求がMAXです! 過去問というか、例題にはなるのですが、以下のサイトを用いました。CpawCTF
このサイト、常設CTFといって気軽にセキュリティコンテストの例題を解く事が出来るものです。
問題数もかなりあって解きごたえありました笑
自分の場合は、かなり解ける問題もあって、本記事で紹介した2つの書籍を勉強するだけでもかなり解ける問題はあるのだなーと実感しましたね。笑
まとめ
今回は、セキュリティコンテストについて興味を持った僕がどんな勉強をしてきたのかということを長々と話してきました。
宝探しのようでとても面白い競技だなと改めて思いましたね笑
皆様もぜひ、参加してみてはいかがでしょうか?