http://www.security-camp.org/minicamp/chugoku2017.html
チャレンジ枠という過去の全国修了生に講師やらせようみたいなのがあって、場所は広島ということで呼ばれた。
ミニキャンプとはいえ、講師というポジションは目標の1つであったが、面白いコンテンツを用意できるかという点で悩んだ。
Web診断も始めてまだ1年半ぐらいの若輩者で(しかもアルバイト)、偉そうに講師とかしていいのかよとか思ってたけど、来年は(無事卒業できれば)就職していることもあって、様々な社会が発生するので、できるうちにやっておくかという気持ちもあったので引き受けた。
2日目午前中は、森田さんより、「Webアプリケーション脆弱性診断入門」 #spcamp #seccamp pic.twitter.com/ohpaph6ExM
— セキュリティ・キャンプ (@security_camp) October 29, 2017
講義では実際に脆弱なアプリケーションに攻撃して脆弱性を体験し、原理や影響、対策はどうするべきか、Railsなどのフレームワークではどのように対策をしているのかという話を中心に進めた。
「フレームワークを適切に使わないといけないし、フレームワークで全部防いでくれるわけではない」みたいなことが伝わればいいなと思いながら資料を作った。
https://speakerdeck.com/mrtc0/sekiyuriteiminikiyanpu-in-zhong-guo-2017-guang-dao-webapurikesiyoncui-ruo-xing-zhen-duan-ru-men
Railsで作ったアプリケーションを2つほど題材として進めた。前半にWebの脆弱性の概要や見つけ方、影響について話して、後半はチームごとに診断という流れ。最後に見つけた脆弱性の再現をしてもらいつつ、影響などについて話してもらうなどしてもらった。
各チームで見つけた脆弱性の数を競えたら楽しめるかなと思って前日の空いた時間に雑なスコアボードを作ったりした。
所感
3時間の持ち時間でWebの脆弱性を全て話すことは無理なので、薄く広くという感じでやったが、まぁ難しい…
終了時刻を勘違いしていて、途中めちゃくちゃ早口で流してしまうみたいなのをやってしまったためにあまり理解できなかった人が発生して申し訳なかった…(結局少し戻って復習という形で置いてけぼりの人を回収した)。
次にこういう機会があるかわからないけど、上手くやっていきたい。