8/10にセキュリティキャンプ全国大会で「ソースコード解析によるWebアプリケーションの脆弱性調査」という講義を @no1zy_sec さんと二人でしていました。 開発工程に少しよりつつ参加者が触れたことのないものに触れてもらおうということで、CodeQLのクエリを書く講義を行いました。
みんなの手元でCodeQL回してもらったらめちゃめちゃファン回ってて部屋が暑くなっていくのが良かった。
もっとCTFっぽい講義にしたほうが良かったかなとか、ソースコード読む楽しさみたいなものを伝えられたらな〜とか話したいことはいっぱいあったものの、ちょっとでも何か興味をもつきっかけになっていたら嬉しいなあと思っています。
自分の講義終わってポリシー記述言語のRego書く講義を少し見ていたのですが、ルールを書く部分でちょっとCodeQLと被るところがあってなんか面白かった。
セキュリティキャンプのメモリアルコーナーがあったので過去の講義資料とか見ていたのですが、やっぱ自分が参加していた2010年とかと比べてWebが複雑になりすぎて参加者大変だな…という気持ちに。 (その分便利なツールが昔より多かったり学習する環境は整備されていたりとかはあるけど。)
その日はそのまま帰宅して、翌日からDEF CON CTF Finalsをリモートから少し手伝ったりしていた。 今週はMidnight Sun CTF Finals参加しにスウェーデン行きます。初北欧なので楽しみ。