こんにちは、いえてぃーです。🐧

入社してから1年が経ち先輩になりました。

実感が無いうえ、社会人の1年ってあっという間だなって感じました。

今回は参加した社内のSecurity勉強会 CTF Web SQL編について記事にします！

会場の雰囲気はこんな感じです！

今回の勉強会は脆弱性のあるWebサイトから

DBの情報を取ってくることは出来るのかという内容です。

※使用方法を誤ると犯罪行為になるので気を付けないといけません！

デモとしてログイン画面からSQLインジェクションを行い、SQLからデータを取得しました！

※SQLインジェクション：アプリケーションのセキュリティ上の不備を意図的に利用し、

　　　　　　　　　　　　アプリケーションが想定しないSQL文を実行させることにより、

　　　　　　　　　　　　データベースシステムを不正に操作する攻撃方法のこと。

　　　　　　　　　　　　また、その攻撃を可能とする脆弱性のことである。(Wikipedia参照)

今回の検証環境は下記の画像のとおりになります。

●実際にSQLインジェクションを行ったログイン画面

このようにIDやnameなどの情報が、脆弱性があると分かっただけで、

簡単に入手出来てしまいました！恐ろしいですね…😱

先ほどのデモではセッション情報を取得してからSQLインジェクションを行いました。

次のハンズオン形式ではセッション情報が無いパターンを試しました。

先ほどとは違った手法で行うと、なんとセッション情報が無くても取って来ることが出来ました！

あっという間に時間が過ぎてしまうくらい楽しむことが出来ました！

今回の勉強会で学べたことは…

です！

社会人は学生の時と比べると、セキュリティをより意識しないといけないので、

とてもいい勉強になりました！

今後実装する際はより一層セキュリティを意識してプログラミングを行いたいと思いました😀

テクノモバイルでは定期的にこのような勉強会を有志の人が中心になって行っています！

これからも勉強会があったら記事にしてご紹介していきます👍

以上Security勉強会についてでした～🐧