WEST-SEC セキュリティ勉強会#2

2023年1月24日に開催した第一回のセキュリティ基礎勉強会は、約250名の申し込みがあり、多くの方にご参加いただきました。アンケートでは、以下のようにありがたい言葉をいただきました。
「無償でこのような勉強会を開催していただきありがとうございます！」
「今までで参加した中で一番ためになった勉強会でした」
「実際にすぐ触れるようになっていて、自分での環境構築が不要で、よかったです」
「次も開催してほしい」
「周りのメンバーにも勧めます」
「お金をとってもいいと思います」

今回、2回目を開催します。
内容は、1回目にご参加の方も、初めての方も、皆さんが楽しめるような内容にしたいと考えております。
1回目の前回とは、一部重複は避けられないですが、基本的には内容を変えます。難易度（レベル）は若干上がります。

勉強会の目的

勉強会の目的は、CTFを解くための知識を身に着けることだけではありません。
我々のCTFの目的は、社会人および情報システム部において必要なセキュリティ知識を高めることです。
よって、この勉強会もWEST-SEC CTFと目的が同じで、社会で必要なセキュリティ知識を高めることです。
なので、CTFを解くための過去問を紹介したり、テクニックの紹介は一切ありません。
そういう意味では、一般的なセキュリティ勉強会と考えてもらった方が近いと思います。
とはいえ、この勉強会を通じて、WEST-SEC CTFの理解につながることは間違いありません。

前提知識

以下、知識がなくても参加できますが、知っている前提で講義を進めます。
・SSHでサーバに接続できる。
・ITパスポートに登場する基本的な用語を、半分くらい知っている。
・特にITパスポートに登場するセキュリティの用語を概ね知っている（または当日までにさらっと勉強する）
用語例としては、マルウェア、バックドア、セキュリティホール、脆弱性、ブルートフォース攻撃、クロスサイトスクリプティング、ディレクトリトラバーサル、ゼロデイ攻撃、セッションハイジャック、WAF、UTMなど。
・2回目の今回の演習では関係ないですが、可能であれば、PKI（公開鍵、秘密鍵、ディジタル署名、証明書）の基礎知識があるとありがたいです。
以下、読んでほしいです。（5分くらいで読めます）
https://www.nrapki.jp/client-certificate/about-pki/

【内容】

・現在、カリキュラムを検討中なので、内容は変更すると思います。
・皆さんのPCにプログラムの実行環境やLinuxサーバを構築してもらえるといいのですが、難しい人もいると思います。よって、皆さんには共通のAWS環境をお渡しし、8割くらいの内容は実機操作してもらえるように準備します。
・資料は配布しません。あらかじめご理解ください。
以下は2回目のカリキュラムです。

1.Linuxの基本操作　35分

主な内容は以下に記載しています。
https://west-sec.com/linux_command
(1)viエディタ
　・基本操作の復習（触りだけ）
(2)nginx によるWebサーバ構築
　・（インストールはこちらでやるので）インストールされていること、バージョンの確認、起動されているかのstatus確認
　・Webページの作成、該当ページへのアクセス
　・設定ファイル（/etc/nginx/nginx.conf）の確認。　待ち受けポートや、コンテンツファイルやログのpath
　・ログの確認 /var/log/nginx/access.log 　grepで自分のIPアドレスからの接続を確認。user-agent含めて
(3)ユーザ関連の確認コマンド
　・ログイン成功/ログイン失敗
　/var/log/secure ,last ,lastb
　・ログインしているユーザの一覧
　who
(4)コンテナの設定
　・docekrを動かしてみる。
　https://west-sec.com/docker

2.プログラム　20分

(1)PHP
概要は以下に記載しています。
ここからはこの後の演習の兼ね合いもあり、ubuntuのサーバで、apacheでの設定です。
https://west-sec.com/linux_command#5PHP
　・PHPによる簡単なプログラム作成
　・入力フォームの作成
　・GETメソッドとPOSTメソッドの違いの確認
　・ログの確認
(2)OSコマンドインジェクション
　・PHPで簡単なOSコマンドインジェクションのサイトを作る
　・OSコマンドインジェクションの実演

(休憩10分） （PaloAlto起動）

3.ネットワーク　25分

(1)nmapによるポートスキャン
概要は以下に記載しています。
https://west-sec.com/wireshark#3nmap
　・ポートスキャンの実行
　・ポートスキャンログの確認

(2)DNSサーバ
・コンテナ上でDNSサーバの構築
・DNSサーバのセキュリティ設定
↑皆さんに環境を渡すのが難しいので、無しとします。

(2)PaloAltoの設定 概要は以下に記載しています。
https://west-sec.com/paloalto
　・ネットワークインターフェースの確認
　・ポリシーの設定
　・ログの確認

4.Webアプリケーションへの攻撃　15分

(1)WAFとは
　・WAFの仕組み
　・WAFの種類
(2)ModSecurityのセットアップ
　今回は、簡単にWAFの勉強ができる仕組みとして、ModSecurityを利用します。
(3)攻撃防御とログの確認
　ModSecurityをWAFとして利用し、OSコマンドインジェクション、SQLインジェクション、ディレクトリトラバーサル からの防御とそのログを確認します。

5.解析　15分

・プログラムの動作原理
・ヒープバッファオーバフローとは
・ヒープバッファオーバフローを体験
・ヒープバッファオーバフローを防ぐには

(アンケート記載　10分）

参加対象者

特に制限はありませんが、以下の方を意識しております。
・情報システム部門でセキュリティ対策の基礎を改めて再確認したい方
・セキュリティに興味があり、セキュリティ対策をもっと深く知りたい方　（※学生さん大歓迎）
・この研修で得た知識をセキュリティ対策のみに活かし、悪用しない方
→つまり、非エンジニアの方、セキュリティの初学者、大歓迎です！

必要なもの

・ブラウザ（Google Chromeなど。IEやEdgeは非推奨）が入ったインターネットに接続できるPC。スマートフォンからの参加も可能ですが、SSH接続やログ分析などもしていただくため、一部の競技の参加が厳しいと思います。
・Web会議ツール（CiscoWebEXやZOOMなど）の環境。
・TeraTermなどのSSHに接続するツール

お願い

・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
・当日の感想をブログやfacebook、TwitterなどのSNSに投稿願います。投稿してもらえると、とてもうれしいです。

当日の流れ

（１）タイムスケジュール（予定）

講師

・粕淵 卓
・藤田 政博
・谷口 貴之