はじめに

こんにちは、hatomatoです。
2024年9月9日~13日にかけてFlatt Security サマーインターンに参加しました。

https://x.com/flatt_security/status/1834534799379407304

結論から言うと、最高だったからみんな参加してくれ です。
インターン終了後、2週間はインターンで利用した学習コンテンツが使えます。

免責事項

基本的に私の記事にはどうでもいい話が多いので他の人の記事を読んでから補足程度で読むといいと思います。
素晴らしい他の方の記事はこちら

参加記

• 2023年
  • かろっくさんの参加記
  • shioさんの参加記
• 2024年
  • alphe_さんの参加記
  • sota70さんの参加記

課題晒し

• 2023年
  • かろっくさんの課題晒し1
  • かろっくさんの課題晒し2

選考課題

選考課題は最初はXSS-Protectionの脆弱性について書こうかと思ったのですが、あまりにも記事やPoC等の情報がないのと、今は使われていないヘッダーなので自分で再現するのも難しいかと思い、Flatt Securityが強みとしているクラウド周りの技術としてOAuthを選びました。
興味のある技術と脆弱性のどちらもOAuthにしてもいいのかと若干思いましたが、時間もなかったのでどちらもOAuthを書くことにしました。
たしか4~5日くらいかけて書いたと思います。

私の課題晒しは こちら

Flatt Securityとは

web診断、クラウド診断を行っているセキュリティベンダーです。
GMOに参画したのが記憶に新しいと思います。
主に顧客から診断対象のソースコードを貰い、ホワイトボックスで行う手動診断, web・クラウドの自動診断ツールSHISHO CLOUD, 開発者向けセキュリティ学習サービスKENROというサービスを展開しています。

詳しくはこちら(公式サイト)

概要

公式のインターン紹介
タイムテーブルは2023年とほぼ同じでした。
https://recruit.flatt.tech/newgrads
https://recruit.flatt.tech/677d9dd7145a4593be2e001d47affd8a

新卒採用への応募をご検討の方には原則としてサマーインターンへのエントリーをお願いしていましたが、~

ちなみにこれ今知りました。

応募のきっかけ

サークルの先輩であるmorioka12にFlattのサマーインターン行ってみたら？と誘われたことから応募を決めました。
Flatt SecurityかGMOイエラエで長期インターンしたいという思いがあるので長期インターンに繋がればラッキーという気持ちと、Flattのサマーインターンはめちゃくちゃよかったというツイートを見ていたのでせっかくならと応募しました。

というかどこへでもインターンに行きたい気持ちがあったのですが、2024年度のインターンは大体は26卒限定で、27卒が参加できるのインターンはそれだけで魅力的でした。
(とよじゅにさん曰く)Ga_ryo_さんの懐の広さによって26卒以外も取っているみたいです。

余談ですが、私は今夏Flatt Securityのインターンしか参加していません(1つ行きたかったのがFlattと被ってしまった)。

全体

5日間を通して社員1名、長期インターン生2名の3名体制で1日8時間見てくださいました。

1日目と2日目はFlatt Security Trainingという自社の新人教育コンテンツを用いて、3~4日目の脆弱性診断に向けて勉強をしていました。

3日目と4日目はOSAKI Juice Shopperというどこかで聞いたことがあるような脆弱性を含んだwebアプリを用いて、脆弱性診断を行いました。

5日目は3~4日目の診断結果を元に報告書を作成しました。

初日から最終日までわからないことがあったらSlackの作業スレッドに~がわからんと投げることを繰り返していました。

お昼は社員さんと一緒にご飯を食べに行きました。

1日目

午前中に今後のフロー説明と会社説明が行われました。
フローはここに書いてあるもので、会社説明はここにあるものでした。

お昼はシャッフルランチ。
いろんな社員さんとローテーションで4日間ご飯を食べながらお話しできます。
免許取得の話、
メンターの社員さんと長期インターン生と結構話せてその後がやりやすかったです。

Flatt Securityの自社向け研修資料であるFlatt Security Trainingを用いて脆弱性について学びました。
XSSとCSRFについての学習を終わらせることが必須課題だったのですが、js(というかコードを書くこと)をさぼってきたツケがまわってきてしまい、csrfで1日中詰まっていました。
解法はわかるのにどうしてもPoCを書けない状態で1日目を終えましたが、なんとか2日目の初めに終わらせることができ、ギリギリ事なきを得ました。

2日目

1日目の失敗を踏まえ、恥を忍んでLLMとの二人三脚を始めました。
普段からろくに自分でコードを書かず、ある程度わかっていればいいやでいた自分を恥じ、OSコマンドインジェクションとSQLインジェクションに取り組みました。

3日目

3~4日目はOSAKI Juice Shopperの脆弱性診断を行いました。
診断対象のエンドポイントは既にクライアントから受け取っている想定で始まり、疎通確認、検査項目の実施、怪しい箇所をホワイトボックス診断するというフローでした。
診断プラットフォームであるORCAsはエンドポイントの種類を入力すると、それに合った検査項目を出してくれるのでそれに沿って診断を行いました。
昨年は脆弱性診断前に使うクローラーの作成をするうえで、脆弱性診断ツールについても考えていたので、ORCAsの機能に感動しました。

お昼はインターン生で2手に分かれてご飯に行きました。店は社員さんにおすすめを聞いて自分たちで決めます。(ここだけ自腹です。逆にこれ以外は会社持ちでした、すごい。)

4日目

この日はあまり脆弱性を見つけることができずにいました。
コードとの戦いから逃げてきた代償からかコードの理解に時間がかかり、思うように進みませんでした。
使用しているライブラリのバージョンが低く、セッション固定化攻撃の可能性がある問題を副産物として
見つけていなかったらとんでもなく重い気持ちで1日を終えるところでした。

19時に1日のプログラムを終えた後、19~21時で懇親会がありました。
シャッフルランチよりも色々な社員さんとお話しできる場でしたが、moriokaさんに既に色々聞いていたのとつよエンジニアとの対峙に何喋っていいかわからずぎこちなくなっていました。(話すのは得意な方だったのですが…)
学生の方は結構CTFをされていて、それを聞いてからCTFに参加するようになりました。

基本的に新卒採用の方はイベントなどで関わり持ってから入社って感じでした。
イベント参加の重要性がかなり見えました。

6個ほどしか脆弱性を発見できていなかったので家に帰って作業しましたが寝ないと明日ダメになってしまうタイプなので泣く泣く就寝。
ホテルに泊まらせて貰えばよかったかと少し後悔しました。

5日目

報告書の作成です。
リスク、簡単な説明、再現手順などを書いてそれを社員の方にレビューしてもらい、お客さんに見せても良いような内容に仕上げていく作業でした。
脆弱性について説明した報告書2つの提出が求められたのですが、たった2つの報告書作成に7時間を要したのには驚きました。
また読み手に専門知識がなくてもわかるように、かつある程度詳しく書くのが予想以上に大変でした。
もちろん文体についても言及されます。

今回はレビューまでで出力はやらなかったのですが、ORCAsは作成した報告書のMDから勝手に報告書を出力してくれるみたいです。

めちゃくちゃ充実した5日間でした。
一週間技術漬けなことはほぼないので、達成感と満足感がすごかったです。
実は2~4日目は焦燥感がすごかったのですが最後気持ちよく終われたので良かったです。

個人的面白かった話など

• GMO参画話
• インターン応募課題話(150人ほど応募があったそう)
• 懇親会にてピザの耳を残す社長の井手さん(パンの耳もいらないらしい)
• どうして入ろうかと思ったか聞くと、大体「詳しくはブログに書いてあるので見てね」と言われる

さいごに

ブログによる宣伝にかなり力を入れているようでした。
RyotaKさんの英語の記事や、新卒・中途社員へのインタビューなど

サマーインターンにすごくお金をかけていると感じました。

• 昼ごはん4回が会社持ち(去年のインターン生曰く、去年は3回だったので1回多くてラッキー)
• 木曜日の懇親会で飲み食いさせてもらえる
• 交通費が出る

いいインターンだなと思ったそこのあなた！

8万円貰えます

なぜか知らないけど学習しながら8万貰えます。
採用の力の入れようにびっくりしました。
会社を大きくするためにGMOに参画して融資してもらったようなので気合いの入れ方もすごいです。

真面目な話をすると、私が得た一番の収穫は脆弱性診断のフローを体で覚えられたことです。
普段脆弱性診断の話を聞くことはあっても大体の流れを聞いてなんとなくわかっているだけで、それを実際に全て行って、報告書を書くところまでやることはないと思います。
ましてや現役のプロに教わることはほぼないでしょう。
このインターンはそのような機会を充実した5日間で得られる重要な機会です。
私はwebしかできないのに、普段別の分野を勉強している他のインターン生と実力に大差はありませんでしたが(他が強すぎという見方もある)、得られるものはとても大きかったのでぜひまだ早いかもと思わずに応募してみてください。
課題を出す過程でも、もちろん参加しても、確実に成長できます。
普段web以外のことを学んでいる人も別の世界を見れて面白いと思います。

通勤・宿泊

もし来年このインターンに受かったら片道１時間半くらいの方はホテルに泊まらせてもらった方がいいかもしれません。
10時始業ゆえ、満員電車には当たらなかったのでめちゃくちゃきついってほどでもないのですが、きついか否かで言えばきつい・一週間だからがまんできたという感じです。
ご厚意に甘えましょう。
そのほうがたくさん作業できて楽しいと思います。
同じく泊まりの方とたくさん話もできるでしょうし。

(最終日のメンターと第3期インターン生全員で行った飲み会では終電で帰りました)

おまけ

ロンアールという中華店のチャーハン3種を5日間で制覇できてうれしかったです(来年は渋谷だから行くことないだろうけど)。

Tierは
1.チャーシュー炒飯
2.エビ炒飯
3.高菜炒飯
でした。

2024/10/10追記

貰ったノベルティ