Micro Hardening v2.0参加記録

Micro Hardeningとは

Micro Hardening(https://microhardening.connpass.com/)のページを参照。45分1セットのシステムに対する攻撃を3回繰り返して少しずつ守れる範囲を増やしていく。そんな感じの競技です。

 

はじめに

3月21日に開催されたMicro Hardening v2.0に参加しました。今回は昨今の状況(大体コ〇ナの色々)から、当初予定されていたオフラインではなくオンライン開催になりました。正直北の大地に住む身としてはオンライン開催は非常にありがたかったです…。

今回はオンライン開催ということもあって多くの方が参加したと聞いています。下記に簡単にやったことや感想などをまとめていこうとおもいます。

競技

まず1回目、僕は前回のMicro Hardening(この時はv1)にWordPressで悔しい思いをしたこともあり、WordPress周りと真っ先に見に行きました。詳細はネタバレになるので言えませんが、前回Micro Hardeningに参加した時よりはうまくいったのではないかなと思っています。まあ少し言ってしまうとプラグイン周りですね、結局どのプラグインを悪用されたかは分かりませんでしたが、正直脆弱バージョンのものが多すぎるので何とも言えません。あとはサイト状態の報告や改ざんが発生した云々、その辺りを報告しながら1回目は終了しました。

次に2回目、aptで最新バージョンにしちゃおうかという話が出て、僕も「まああと1回あるしここで失敗しても大丈夫か」という感じでお願いしました。見事にWordPress周りが崩壊しましたね。/(^o^)\他の部分は僕なんかよりずっとつよつよなお方が2人も担当してくださっていたおかげで僕の出る幕はありませんでした。このお二方には今回非常にお世話になったので感謝しています。

最後の3回目、引き続きWordPress周りも色々弄ったのですが、後半でEC-CUBEの管理画面にも手を出しました。報告を受けたインシデントに応じて管理画面から修正していく作業がとても楽しかったです。インシデントの中には笑ってしまうようなものもいくつかあったのですが、ネタバレの関係で割愛。

 

最後に

ごめんなさい。内容めっっっっっっっっちゃ薄くなりました。5時間の間に経験したことはいっぱいあるのですがネタバレ配慮するとこうなりました。このまま締めくくっても悲しいので、最後にスコア表を貼りたいと思います。(掲載許可済)

 

f:id:ohy_s:20200321183315p:plain

僕の入ったチームは16なので、3セット目のスコアは3位ですね。これも前回のMicro Hardeningから見るとかなり伸びたと思います。(まあバージョン違うので言い切って良いか分からないですが…)

また、今回から評価項目にSLAが追加されたということで、ここも結構大きな話だと思っています。なにせ45分しかないですから死活監視を怠ったときの1分2分でも笑えない割合でSLA持っていかれますからね。防御点は…これ多分僕の担当したWP関係結構スカしちゃってますね…思い返しても僕は割と後手後手の対応してた気がするので次回の課題ですね。

自分の中での目標ををいくつか達成することが出来ましたが、その分新たな課題が増えたMicro Hardeningでした。次出る時も今回みたいにちゃんと目標を達成できるように勉強を進めていきたいですね。(もしかしてv2も2回目以降はチームじゃなくてぼっち参加なんですかね…?)

簡単なまとめ方になってしまいましたが、以上で参加記録を締めたいと思います。