こんにちは！ CTF for GIRLS運営の宮地です。
CTF for GIRLSでは、2023年1月20日(金)に第20回ワークショップを開催しました。
本レポートでは、当日の様子や内容をご紹介させていただきます。

今回も新型コロナウイルス感染拡大防止の観点から、運営の一部メンバーのみ会議室に集まり、Zoomを使用してのオンライン開催となりました。
オンラインではありましたが、112名のご応募と当日も80名以上のご参加をいただきました。

ワークショップ中は参加者の皆さまからもZoomのリアクション機能による👍や❤️などが飛び交ったり、Twitter上でも「#ctf4g」のハッシュタグでの実況・感想も多数投稿され、皆さまが苦戦しながらも楽しんでくださっている様子が運営にも伝わってきました。

ご応募・ご参加いただいた皆さま、誠にありがとうございました！

さて、今回のワークショップのテーマは「Web分野」になります。
CTFでのWeb問題と言えば、Webサイト・Webアプリケーションを題材にflagを探し出すものになります。
解くに当たっては、それらを構成する要素である、HTTP(S)、データベースおよびSQLなどについての知識も要求されます。

ワークショップでは、最初にCTF for GIRLS副代表の中島春香さんより開会の挨拶があったあと、水野さんによるWeb分野の講義が行われました。

講義では、CTFのWeb問題を解く際の心構えや、調査でよく使うツールであるBurp Suiteの紹介、メジャーな攻撃手法 (パラメータ改ざん、ディレクトリトラバーサル、SQLインジェクション、OSコマンドインジェクション、HTTPヘッダインジェクション) とそれぞれの調査・攻撃方法の例などが説明されました。

講義のあとは、お待ちかねの演習タイムです！
参加者の皆さまには事前に演習問題環境と問題を解くのに必要なツールがセットアップ済みのVM (仮想マシン) イメージが配布され、その中で実際にCTFのWeb問題にチャレンジしていただきました。
今回は、初級3問・中級3問・上級2問が出題されました。

講義でも説明のあった、パラメータの書き換え、ディレクトリトラバーサルなどを扱う問題や、上級問題ではSQLインジェクションの一種であるブラインドSQLインジェクションを題材にした問題などが出題されました。

演習タイム終了と同時に、じゅんたさん、のみぞうさん、中島春香さんの3名より、演習問題の解説が行われました。
実際の画面を表示しながらの説明もあり、Burp Suiteを初めて使う方にもわかりやすかったのではないでしょうか。
また、CTFは同じ問題でも人によって様々な解き方があるので、自分でもflag (問題の答え) には辿り着いたけれど、解説を見て新たな発見があった方もいらっしゃったのではないかと思います。

演習中にはTwitter上で問題を解けた喜びをツイートしてくださった方もおり、運営側も嬉しい限りでした。
当日解けなかった方も解説を見て、ぜひご自身の手でflagをgetしてCTFの醍醐味を味わっていただければ幸いです。

最後に、CTF for GIRLS代表の中島明日香さんからの閉会の挨拶でクロージングとなりました。

中島さんからのコメント中にもありました通り、2022年度のCTF for GIRLSワークショップは今回が最後となりますが、直近の活動として2023年2月11日(土)-12日(日)に行われる「SECCON 2022 電脳会議」内での出張ワークショップを予定しております。

■SECCON 2022 電脳会議
https://www.seccon.jp/2022/ep230211.html
[D1-W2] 2月11日(土) 13:00-15:00 - CTF for GIRLS Workshop

CTF for GIRLSとしても久々のオフラインイベントになります！
情報セキュリティ好きの皆さまにお会いできることを運営一同楽しみにしておりますので、ご都合のつく方はぜひお越しいただけますと幸いです。

今後もCTF for GIRLSでは引き続き各種イベントの開催を予定しております。
内容は決まり次第、本Webサイトおよび Twitter や Facebook などでご案内させていただきますので、ぜひチェックしてみてください！