とある海豹とSecurity-JAWS #01

イベント趣旨

S3を利用していないAWSユーザーはいますか？いませんよね！
AWSを利用するときにS3の設定ミスを気をつけることは、すでに知られたセキュリティ対策です。AWS Security Hubを使って正しい設定ができているかちゃんと確認していますよね？

• 誤ってS3バケットを公開していないか？
• パブリックアクセスブロックを設定しているか？

しかし、S3の設定で気をつける部分はそこだけではありません。アプリケーションの実装と組み合わさることで、S3単体では発生しない脅威も起こり得ます。
今回のイベントではS3を利用した環境でWebの脆弱性であるXSSを作り込んだ問題に取り組み、様々な攻撃のアプローチを学ぶCTFです。

参加対象者

AWSセキュリティにご興味がある方が対象となります。

特にS3とXSSについて扱うため、特に下記能力を前提とします。

• AWSをマネジメントコンソールで操作できる
• AWS SDKを利用したアプリケーションコードが読める
• XSSについて原理を理解している

特にWebアプリケーションやXSSの原理などには最低限理解している方を参加条件とします。1から学びたい方の参加はご遠慮ください。
一方で、普段Web開発などは行っていないけど、AWSのセキュリティを理解するために頑張りたい、という方であれば、必要なテクニックの解説などはある程度当日用意されていますので歓迎します。

参加条件と用意するもの

以下の条件を満たした環境を用意してください。

• 自由に利用できるPC
  • AWS環境にアクセスできる
  • Burp Suiteをインストールしたもの
    • インストール手順: https://burp-resources-ja.webappsec.jp/Documentation/burp/documentation/desktop/getting-started/download-and-install.html
    • [2024/09/15追記]インストール手順及び練習問題をサポートする記事としてHTTP通信を止めて書き換えるBurp Suite入門を書きましたので合わせて参照してください
  • [オンライン参加の場合] リモート会議ツールに参加できる環境
• あると良いもの
  • [現地参加] 電源タップ
• 問題を解くという強い意志
• 知らないものに挑戦する根性

注意 当日はツールとしてBurp Suiteを利用します。本イベントの参加条件として「Burp SuiteをインストールしたPCを用意すること」とし、イベント申込の際にはインストールしたバージョン番号を明記していただきます。イベント申込時の内容が不適切であると判断される場合、参加をお断りする可能性がありますのでご了承ください。

特に注意する事項

• 12時開始のため、お昼ご飯を済ませてご参加ください。特に現地参加の方はお気をつけください。
• 長丁場のため飲み物等を各自準備してください。
• 現地参加の方は、ゴミは各自持ち帰りください。
• 目黒の会場に入場する場合、本名と連絡の取れるメールアドレスが必要になります。申込時のアンケートで正確にご回答ください。ニックネーム等を利用した場合は入場できません。

練習問題

練習問題として、Burp Suiteを利用して取り組む簡単な問題を公開します。
今回の前提となる環境の準備でき、知識の勘所を学習できるコンテンツのため、事前にこれに取り組んでから参加をお願いします。
初めてBurp Suiteを利用する方でも問題ありません。 課題は下記になります。

https://gist.github.com/a-zara-n/e314c1c2509868d0d5ee677a1ffbc686

初めての方はHTTP通信を止めて書き換えるBurp Suite入門も合わせて参照してください。

タイムテーブル

※懇親会の予約は行いませんが、流れで懇親会を行うことがあります

X（旧Twitter）

公式アカウント: https://twitter.com/security_jaws
ハッシュタグは #secjaws #azasecjaws01 #jawsug
です。

参加者への注意事項

• イベントについてのX (旧Twitter) やSNSへの投稿は、原則OKですが、投稿についてNGな部分は講師の方々に従いましょう。

以上のルールをご理解下さい。