セキュリティ・キャンプ全国大会2016参加記 その二
三日目
3-A【Webアプリケーションの脆弱性の評価と発見】
もう使われていない古いバージョンのサイボウズオフィスの脆弱性を探す会
ひたすら「これは見ていいものなのか・・・?」と思ってた・・・ので、詳しくは書けません・・・
CVSSv3なる方法で、脆弱性の分類をして、重要度をきめるらしい。
・・・が、意外とあてにならないものもあるらしく、重要度は低いけど早急にやらないといけないものも多いらしい。
.htmlの中にif文があって驚いたが、10年以上前のものも含まれてるそうなので、闇が深い。
4-A【クラウドセキュリティ基礎】
クラウドでなにができるようになったか?
-> サーバーをポンポン産んだり殺したりすることが可能となった。
-> サーバーはペットから家畜へ。
ここでもCVSS。やはり重要らしい。
AWSでサーバー立てて遊んだりハンズオンしたりした。
5-A【サーバ運用におけるパスワード管理】
100台サーバーがあって、4人管理者がいたら、理想は400個のパスワードがあるべきだが、実際にそんなこと出来るの?って話。
まあ無理なので、じゃあどうしようか。
とある会社で使われているシステムの説明などをしてくださり、とても面白いと思った。
企業プレゼン
なんか正直良くわからなかった・・・
データを分散して、全部合わさらなければ元データは取り出せないので安全ってのはわかった。
これを用いると、仮にPCをなくしたとか言ったトラブルでも、データをとられることはない。
でも、復元できなくなるので、重要な情報はどうすればいいのか。質問してる人もいたが、回答がなんというか、理解できなかった。
グループワーク
順調・・・なのか?
デスマしそう・・・?
ハニーポットハンズオン
お話聞けてよかった、あんな世界もあるんだ。
ちょっと立ててみたいと思ってしまった。
三日目終わって
ああもう折り返しか、楽しいなあ、もっとやりたいなあ!