8/21~8/25の5日間でFlatt Securityさんのインターンに参加しました!
とっても勉強になった&楽しかったので感想とかを共有したいと思います!
きっかけ
もともとセキュキャンかなんかで社名だけを知っていて、魔法のスプレッドシートを眺めていたときに見たことあるな~って感じで募集要項を見たら面白そうだったので申し込んでみました[1]。
こう言うと怒られるかもですが、とりあえず申し込んどくか~ぐらいの結構軽い気持ちで申し込んでいたので合格のメールが来たときにはびっくりしました笑。
しかも今回のインターンは100人以上の応募があったらしく、その中から選んで頂きありがたい気持ちでいっぱいです🙏[2]。
内容
最初の2日間は研修用の教材で現実の診断でも見つかりやすく、重要性が高いXSSとCSRFについて勉強しました。
XSSではSame-Origin Policyから学び、実際にシンプルなやられサイトを用いて演習を行いました。
またより実践的な演習として、メモアプリの診断に取り組みました。
ただ、これが難しくかなりヒント(というかほぼ答え)を教えてもらいながらなんとか突破できました。
CSRFも最初に概要を学び、シンプルなやられサイトで演習を行った後、ホワイトボックス診断とブラックボックス診断の2つの演習教材に取り組みました。
こちらはある程度スムーズに答えることができました!
この2つの演習課題はレポートにして提出するのですが、これらの脆弱性があると利用者に何が起こるのか、何がまずいのかといった観点から論述するものもありました。
頭の中では理解しているようでなかなか理解できていなかったりするので、言語化って大事だなぁと思いました。
と、いうわけでギリギリ2日間で終えることができました(=ω=.)。
私は2日かけて2つの教材を終えていましたが、他の参加者はSQLインジェクションやOSコマンドインジェクションなどの次の教材に取り組んでいてみんなすごいなぁ~と感じました。
次の2日間はソースコード換算で3万行ほどのWebアプリケーションの診断をしました。
これは、Flatt Security謹製のOWASP Juice ShopのようなECサイトで、XSSやCSRFだけでなく様々な脆弱性が埋め込まれたものです。
このWebアプリケーションをソースコードと共に診断を行うというスタイルで脆弱性の調査をしていきました。
最終的には8つほどの脆弱性を見つけれました!
最終日はWebアプリケーションの診断で見つけた脆弱性についてのレポートを書きました。
この脆弱性はこれこれが原因で起こっていますよ。リスクはこんだけでかいですよ。対策方法はこうしますよという感じのレポートを書きました。
その中で「脆弱性診断士の仕事は脆弱性を見つけるだけではなく、お客さんにその脆弱性のリスクを正しく認知してもらい、対策してもらう仕事」という言葉が印象に残りました。
いい加減なレポートを書くとお客さんに理解してもらえず、結局修正してくれない事態になるので、正確にリスクを伝えるのは大事だなと思いました。
また4日目の終業後は懇親会が開催されました。
19時に始まったのですが結局2時ぐらいまでお話ししてていました笑。
雑談や技術、キャリアなどなど…いろんな方にアドバイスを貰えてすごくためになりました!ありがとうございました!!!
ごはん
5日の期間の内3日間(+1日)は社員さんと一緒にランチを食べれるという素敵な機会をセッティングしてくれました!
いろんなお店に行ったので紹介します[3][4]!
1日目は社員さんに連れて行ってもらい、水餃子が食べ放題な中華料理屋さんに行ってきました!
とっても美味しかったのですが、辛い&暑いで始終汗がダラダラでした笑🥵。
2日目も社員さんに連れて行ってもらい、マグロのお茶漬けを食べました。
私は回転寿司に行くとマグロをまず真っ先に食べるマグロ好きなので飛びつきました!
次東京に行ったときもリピートします!
3日目も社員さんに連れて行ってもらい、ネパール料理のお店に行きました。
人生初のネパール料理だったのでワクワクでした!
初めて飲んだチャイは不思議な味でした。
すごく美味しかったです!
4日目はインターン生だけの昼食会で、ステーキハンバーグ屋さんに行きました。
ステバーなる棒状のステーキが出てきたのですが、ホロホロしてて美味しかったです😋。
5日目は社員さんに連れて行ってもらい、ハンバーガー屋さんに行きました。
食べログ見ると「グルメバーガーの名店」と書かれており、実際に今まで食べたバーガーの中でダントツでした。
お肉もチーズも何もかもが分厚くてボリューム満点でめっちゃ美味しかったです😋🍔。
ちなみにもう一泊してから昼に帰る日程だったので、6日目ははてブで見たケバブの記事のお店が良さそうだったので秋月電子に寄るついでに食べました。美味しかったです😋[5]。
さらにさらに帰りの新幹線では例のシンカンセンスゴイカタイアイスを食べました(人生初!)。
近いうちに新幹線の車内販売も終わってしまって食べれる機会がぐっと減るのでなんとか食べれてよかったです!
ちゃんとカッチカチでした🥶。
最後に
めちゃくちゃ楽しく、勉強になり、ためになった5日間でした!
改めてインターンを開催してくださったFlatt Securityの方々、特にメンターとして手取り足取り教えてくださったお二方、そしてインターンの同期として支えてくれた6名に最大限の感謝を!
社名すら知らなかったら見逃してた可能性が大なので、まず社名を知ってもらうためにもイベントとかにスポンサーとして協賛するのって結構大事なんだなぁって思いました(小並感)。 ↩︎
ちなみに技術課題は6/27 19:00締め切りなんですが、自分は6/27 18:28に出していました笑。どうやら結構な人がギリギリに出していたらしく、途中まで課題が全然提出されずに焦っていたのこと笑。 ↩︎
お店の名前とかメモってなかったんでどうしようかなぁって思っていたら、Google MapsのTimeline機能が有能すぎて、お店が全部特定できました。すごい。 ↩︎
お店を紹介しますと言いつつ写真を全然撮ってないのです。すみません(._.) ↩︎
1日目の中華、2日目の和食、3日目のネパール料理、4,5日目の洋食、(上には書いてないですが)5日目のインド料理、6日目のトルコ料理とかなりグローバルな食生活になってました🌏。 ↩︎