2018/6/22(金)、株式会社富士通ラーニングメディア様 品川ラーニングセンターにて、CTF for GIRLSワークショップ第9回を開催しました。

今回のテーマは「Webセキュリティ」。パラメータ改ざんやOSコマンドインジェクションなどの脆弱性の問題に対して、ローカルプロキシ（端末上でWebサーバとブラウザ間の通信内容をキャプチャするツール）でチャレンジする形式です。今回も学生から社会人まで多くの女性に参加いただき、大変盛り上がりました。

いつもの流れと同じく、前半は講義形式でWebセキュリティについて学び、後半は講義で学んだことを基に演習問題にチャレンジしました。

講義は初心者の方でも演習問題を最低1問解けるように基礎知識を含めた構成にしました。最初にWebアプリケーションの仕組みについてWebサーバとブラウザ間の通信に焦点を当て、HTTPリクエスト・レスポンスを解説しました。そして、ローカルプロキシの使用方法を説明した後、演習問題で取り扱っているWebアプリケーションの脆弱性について対策まで含めて解説しました。

講義と演習の間の休憩は恒例のスイーツタイムです。今回ご準備したのは「WA・BI・SA（ヨックモック）」の「香ほろん」。さまざまな和のテイストのさくさくほろほろとしたクッキーです。今回のワークショップは初めてCTF for GIRLSに参加する方を優先したため、最初は少々不安げな表情を浮かべていた方もいらっしゃいましたが、スイーツタイムにはすっかり慣れ、和気あいあいと談笑されていました。

演習問題は全部で7問、初級問題3問、中級問題2問、上級問題2問の構成で様々なレベルの問題を用意しました。初級問題ではパラメータ改ざんやディレクトリトラバーサルの脆弱性を理解したり、ローカルプロキシの使用方法に慣れたりできるような問題にしました。中級問題ではパラメータ改ざんの中でもUser AgentやHiddenパラメータなどを取り上げました。上級問題ではOSコマンドインジェクションやHTTPヘッダインジェクションを用いた問題をご用意しました。

いつものことですが、演習がはじまると、皆様一斉に端末に向かって黙々と問題に取り組まれるため、休憩時間と雰囲気が一変します。ただ、わからなかったことがあれば気軽に手をあげて質問することができ、すぐに運営メンバーが回答に駆け付けますので、安心してください。また、演習終了後には演習問題についての解説を実施しますので、わからなかった問題についても理解を深めることができます。

今回、ツールの設定等でトラブルが発生してしまい、一部の方については演習問題にチャレンジする時間が十分に確保できず申し訳ありませんでした。ただ、全体的には講義が理解できるように工夫されていてよかった、演習問題もチャレンジし甲斐があっておもしろかったという声をいただき、運営一同うれしく思っております。

懇親会にも多くの方に参加いただき、参加者同士のネットワーキングを広げるだけでなく、普段の仕事や勉強の話、女性ならではのキャリアの話までさまざまな話題で盛り上がりました。

ちなみに、CTF for GIRLSワークショップですが、SECCON実行委員会のサポートを受けつつ、運営メンバーが企画から当日の運営まで担当しています。テーマの決定から講義の準備、演習問題の作成もすべて運営メンバーで実施しています。

今回、第7回に続いて講義を担当しましたが、どのぐらいの難易度に設定するか、どうすればもっとわかりやすく伝わるかの2点について、最後の最後まで悩みながら準備をしています。初心者の方にも理解してもらい楽しく学んでもらいたい一方で、ある程度知識がある方にもためになる内容を提供したいと考えるため、バランスをどう取るかで悩んでいます。

演習問題については運営メンバーで分担しながら、対面やオンラインで打合せをしたり、お互いに出来上がった問題をレビューしたりして、作成しています。毎回、さまざまなバリエーションに富んだ問題を作成いただけるので、私自身、どんな問題ができあがってくるのかをとても楽しみにしています。

また、講義や演習問題以外でも、広報や当日の参加者サポートなども運営メンバーで担当しています。ぜひ運営に興味がある方は運営メンバーまでご連絡いただければと思います。

次回は第2回となる学生限定ワークショップを8月に、CTF for GIRLSワークショップ第9回を2月に開催します。SECCONやCTF for GIRLSのWebページ・twitterで告知いたしますので、皆様の参加を心よりお待ちしています。（末吉亜樹子）