【CODE BLUE 2023】インセオ・アン & ジェミン・ミン / Inseo An & Jemin Min

●Abstract

Electronアプリケーションのハッキング：Electronアプリケーションの脆弱性の解析と防御［ja］

Pwning Electron Application : Analysis and Defense of Vulnerabilities in Electron Applications［en］

今回はU25（25歳以下）のカテゴリから「Electronアプリケーションのハッキング：Electronアプリケーションの脆弱性の解析と防御」のインセオ・アン氏とジェミン・ミン氏にお話を伺いました。お二人は韓国のセキュリティ企業のENKIの研究者であり、韓国情報技術研究院（KITRI）による エリートエンジニア育成プロジェクト、“BoB（Best of the Best）”の受講生でもあります。
講演テーマはタイトルの通り「Electronアプリケーションのハッキング」です。Electronとは、JavaScript、HTML、CSS によるデスクトップアプリケーションを構築するフレームワーク。WhatsApp・Discord・Slack・TwichなどがElectronによって開発されています。
講演では、XSS・CSRF・RCEをはじめとするさまざまな脆弱性の発見手法が紹介されるといいます。インタビューはインセオ・アン氏に回答していただきました。

●Bio

インセオ・アン［ja］

ジェミン・ミン［ja］

Inseo An［en］

Jemin Min［en］

ｰｰｰ

●Interview

［ja］インタビュー

Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。

A1. きっかけは、韓国情報技術研究所（KITRI）のBest of the Best（BoB）プログラムでした。 BoBの生徒は、5人のチームメイト、1人のプロジェクトリーダー、1?2人のメンターとともにプロジェクトを進める必要があり、私はトピックとしてElectronアプリケーションをハッキングすることを選択し、プロジェクトを開始しました。

Q2. 研究の過程でどのような点で苦労しましたか?

A2. プロジェクトをどのように開始し、見つけた脆弱性をどのようにエクスプロイトに活かすかという点がチャンレンジでした。

Q3. CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。

A3. セキュリティ研究やバグバウンティに興味がある方は、われわれがどのように課題を乗り越え、プロジェクトを成功させることができたかをご覧下さい。

ｰｰｰ

［en］Interview

Q1. How did you initiate your journey into the topic that you are presenting?

A1. It started with the Korea Information Technology Research Institute (KITRI) Best of the Best (BoB) program.
BoB students need to work on the project with 5 teammates, 1 project leader, and 1~2 mentor, and I selected the topic as Pwning Electron Application and started the project.

Q2. What were some challenges you faced during this research?

A2. We had challenges in how to start a project and how to exploit the vulnerabilities we found.

Q3. What message would you like to convey to those considering attending this talk?

A3. If you're interested in security research and bugbounty, check out how we overcame the challenges and were able to successfully carry out the project!