DavidとJackとMySQLのセキュリティと

Slide 1

Slide 1 text

DavidとJackとMySQLのセキュリティと MySQLのセキュリティといえばこの人たちだろう 2021/04/22 yoku0825 Club MySQL #5 ～SQLデータベースのセキュリティ

Slide 2

Slide 2 text

MySQLでセキュリティって言われると思い出すやつ https://twitter.com/yoku0825/status/1103546004224135168 1/23

Slide 3

Slide 3 text

DavidとJack 2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場人物 MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防がれ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストーリー ‐ 当時、二人の手口とそれを解説する @yyamasaki1さんの表情が俺の中で話題に 2/23

Slide 4

Slide 4 text

今日はそんな彼らを紹介します(セキュリティの話は出てきますん) 3/23

Slide 5

Slide 5 text

＼こんばんは／ yoku0825＠とある企業のDBA オラクれない ‐ ポスグれない ‐ マイエスキューエる ‐ 生息域 Twitter: @yoku0825 ‐ Blog: 日々の覚書 ‐ 日本MySQLユーザ会 ‐ MySQL Casual ‐ 4/23

Slide 6

Slide 6 text

David 5/23

Slide 7

Slide 7 text

David https://twitter.com/yoku0825/status/778474134485413888 6/23

Slide 8

Slide 8 text

David URLや環境変数を使わず、直接生SQLにインジェクションしていくなんか俺の知ってるSQLインジェクションとちょっと違う気はする ‐ mysql コマンドラインクライアントでSQLインジェクションを試すなんて！わるい、わるいなぁー！ 7/23

Slide 9

Slide 9 text

Jack 8/23

Slide 10

Slide 10 text

Jack https://twitter.com/yoku0825/status/778474773206536193 9/23

Slide 11

Slide 11 text

Jack SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢えて一度ファイルに落とし込む！しかも root@localhost 以外でつける必要がそうそう無い File_priv 持ったアカウントでログインしてるぞ！わるい、わるいなぁー！ 10/23

Slide 12

Slide 12 text

この二人、なんとタッグを組む 11/23

Slide 13

Slide 13 text

この二人、なんとタッグを組む https://twitter.com/yoku0825/status/778475207962918912 12/23

Slide 14

Slide 14 text

この二人、なんとタッグを組む深夜のオフィスからハードディスクを盗み出す「だが！ハードディスクを盗んでもInnoDB Transparent Encryptionがあるのでデータは読み出せないのであった！」というオチなんだけどわるい、わるいなぁー！ 13/23

Slide 15

Slide 15 text

yoku0825 https://twitter.com/yoku0825/status/778475378536886272 14/23

Slide 16

Slide 16 text

yyamasaki1 「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、どうしてもスライドの通り発表しなければならなかった」などと後日供述しておりそれがまた俺のツボにハマる 15/23

Slide 17

Slide 17 text

yoku0825 https://twitter.com/yoku0825/status/778475871023661057 16/23

Slide 18

Slide 18 text

DavidとJackの犯行は未然に防がれた、そう、マイエスキューエルエンタープライズならね！（） 17/23