Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不正クエリを検知するsqdを作った

Komei Nomura
February 12, 2019
Technology
1
560

 不正クエリを検知するsqdを作った

Fukuoka.go#13+Okayama.go
https://fukuokago.connpass.com/event/112073/

Komei Nomura

February 12, 2019
Tweet

More Decks by Komei Nomura

See All by Komei Nomura
さくらのクラウドでのcloud-initの実装と利用例の紹介 / Implementation of cloud-init in SAKURA Cloud and introduction of usage examples
komei22
1
290
Kerasによるモデル構築 / Model-building-with-Keras
komei22
0
5.8k
ハンドメイド作品を対象としたECサイトにおける単語の出現頻度を用いた稀覯品の検出 / Detection of Rare Works Using Term Frequency on Electronic Commerce Site for Trading Handmade Works
komei22
1
610
Automatic Whitelist Generation for SQL Queries Using Web Application Tests
komei22
3
890
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法 / Automatic whitelist generation for SQL queries using web application tests
komei22
2
690
ペパコンナイト:セキュリティWG成果報告 / pepacon night: security working group report
komei22
2
1.4k
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法
komei22
0
4.3k
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法
komei22
0
1.1k
新卒研究員の研究開発 〜セキュアなWebサービスを目指して〜
komei22
0
1.5k

Other Decks in Technology

See All in Technology
ブロックエディタをゴリゴリに使い倒してサイトを作った話 / Kansai WordPress Meetup 2023 09 23
torounit
11
5.3k
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
1
1.8k
Better PHP - Keep your code up to date
wernerkrauss
1
120
JPOUG Tech Talk Night #7 ASAHI
asahihidehiko
0
200
製造業が強い愛知から始まったチーム作り8年の旅路とその現場から見えたこと
nktamago
0
250
Product Ops: Conectando Estratégia e Execução de Produto
rigolon
1
130
サーバーレスは死なぬ!みんなEDA(Event Driven Architecture)として使ってるでしょ?
cyberarchitect
4
1.3k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
takumakume
0
330
データベーススペシャリストというキャリアと生存戦略 ~10年後も変わらないこと、変わること / career-spiral
soudai
15
4.4k
失敗から学ぶAPIファースト / API first learning from failure
yokawasa
12
4k
組織・プロセス・技術 - フロントエンドの生産性向上への複眼的アプローチ / 20230921
bengo4com
3
680
Goで実装された高速な
仮想待合室サーバの実装と詳解
pyama86
13
5.6k

Featured

See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k
Building Your Own Lightsaber
phodgson
97
5.2k
Robots, Beer and Maslow
schacon
154
7.6k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
41
11k
Large-scale JavaScript Application Architecture
addyosmani
501
110k
VelocityConf: Rendering Performance Case Studies
addyosmani
318
23k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
1.9k
Product Roadmaps are Hard
iamctodd
42
8.7k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.6k
Facilitating Awesome Meetings
lara
37
5.1k
Optimizing for Happiness
mojombo
368
67k

Transcript

  1. ໺ଜ޸໋ / Pepabo R&D Institute, GMO Pepabo, Inc.
    2019.02.12 Fukuoka.go#13
    ෆਖ਼ΫΤϦΛݕ஌͢ΔsqdΛ࡞ͬͨ

    View Slide

  2. 2
    ΤϯδχΞ
    ໺ଜ޸໋!,PNFJ
    (.0ϖύϘגࣜձࣾɹϖύϘݚڀॴ

    View Slide

  3. ෆਖ਼ΫΤϦΛݕ஌͢Δsqd

    View Slide

  4. ෆਖ਼ΫΤϦͬͯԿʁԿ͕໰୊ͳͷ͔ʁ

    View Slide

  5. • ෆਖ਼ΫΤϦͱ͸ʁ
    • WebΞϓϦέʔγϣϯͷ੬ऑੑΛར༻ͯ͠σʔλϕʔεʹൃߦ͞ΕΔΫΤϦ
    • SQLΠϯδΣΫγϣϯʹΑͬͯൃߦ͞ΕΔΫΤϦͳͲ
    • ෆਖ਼ΫΤϦ͸ԿΛҾ͖ى͜͢ʁ
    • σʔλϕʔε্ͷػີ৘ใͷ࿙Ӯ
    • σʔλϕʔεͷվ᜵ɾফڈ
    5
    ෆਖ਼ΫΤϦʹ͍ͭͯ
    ෆਖ਼ΫΤϦ͕ൃߦ͞Εͨ͜ͱΛݕ஌͍ͨ͠

    View Slide

  6. • sqd͸ɼϗϫΠτϦετϕʔεͰɼΫΤϦϩά͔Βෆਖ਼ΫΤϦΛݕ஌
    6
    sqd
    TREIUUQTHJUIVCDPN,PNFJTRE
    8FCΞϓϦέʔγϣϯͷ
    ΫΤϦϩά
    w ΫΤϦ"
    w ΫΤϦ#
    w ΫΤϦ$
    TRE
    ϗϫΠτϦετ
    ΫΤϦΛϗϫΠτϦετͱর߹
    ϗϫΠτϦετʹͳ͔ͬͨ
    ΫΤϦΛग़ྗ
    w ΫΤϦ"
    w ΫΤϦ#
    ΫΤϦ$

    View Slide

  7. 7
    sqdʹΑΔෆਖ਼ΫΤϦݕ஌
    $ cat whitelist
    SELECT * FROM users WHERE id = ?
    $ cat query.log | jq -r .query
    SELECT * FROM users WHERE id = 1
    SELECT * FROM users WHERE id = 2
    SELECT * FROM users
    DROP TABLE users
    ϗϫΠτϦετ
    ݕ஌ର৅ͷΫΤϦ܈
    Ϧςϥϧ஋͸ϓϨʔεϗϧμʔʹ͢Δ
    $ cat query.log | jq -r .query | sqd -W whitelist
    SELECT * FROM users
    DROP TABLE users
    ݕ஌͞ΕͨΫΤϦ
    ϗϫΠτϦετϑΝΠϧΛࢦఆ
    ݕ஌ର৅ͷΫΤϦ܈Λೖྗ

    View Slide

  8. sqd͸ϗϫΠτϦετΛͪΌΜͱఆٛͰ͖Ε
    ͹ɼෆਖ਼ΫΤϦΛݕ஌Ͱ͖Δ

    View Slide

  9. Ͱ΋ɼϗϫΠτϦετ࡞ΔͷେมͳͷͰ͸ʁ

    View Slide

  10. • ߴ͍ਫ਼౓Ͱෆਖ਼ΫΤϦΛݕ஌͢Δʹ͸ɼWebΞϓϦέʔγϣϯ͕ൃߦ͠ಘΔΫ
    ΤϦΛશͯϗϫΠτϦετʹఆٛ͠ͳ͚Ε͹ͳΒͳ͍
    • WebΞϓϦέʔγϣϯ͕ൃߦ͠ಘΔΫΤϦ͸๲େ
    • WebΞϓϦέʔγϣϯ͕վम͞Εͨ৔߹ɼΫΤϦ͕มԽ͢ΔՄೳੑ͋Γ
    • ORM࢖ͬͯͨΒɼࣗ෼ͰSQLΛॻ͘͜ͱ͕গͳ͍
    10
    ϗϫΠτϦετ࡞੒ͷ೉͠͞

    View Slide

  11. 11
    IUUQTTQFBLFSEFDLDPNLPNFJXFCBQVSJLFTJZPOUFTVUPXPZPOHJUBTRMLVFSJGBMTFIPXBJUPSJTVUP[JEPOH
    [VPDIFOHTIPVGBFCDGCDFBFBEDF

    View Slide

  12. • ෆਖ਼ΫΤϦʹΑͬͯσʔλϕʔε্ͷػີ৘ใͷ࿙Ӯɼվ᜵ɼফڈ͕ൃੜ
    • ϗϫΠτϦετϕʔεͰෆਖ਼ΫΤϦͷݕ஌Λߦ͏sqdΛ঺հ
    • sqdͰ͸ɼϗϫΠτϦετ࡞੒͕ॏཁ͚ͩͲ೉͍͠
    • ϗϫΠτϦετ࡞੒ʹؔͯ͠͸ɼ࿦จ΍ݚڀձͰͷൃදࢿྉΛ͝ཡ͍ͩ͘͞
    12
    ·ͱΊ
    ࿦จɿIUUQTSBOEQFQBCPDPNQBQFSTJPUTLPNFJQEG

    View Slide

  13. View Slide