Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DavidとJackとMySQLのセキュリティと

 DavidとJackとMySQLのセキュリティと

2021/04/22 Club MySQL #5 ~SQLデータベースのセキュリティ
https://mysql.connpass.com/event/208575/

yoku0825

April 22, 2021
Tweet

More Decks by yoku0825

Other Decks in Technology

Transcript

  1. DavidとJackとMySQLのセキュリティと
    MySQLのセキュリティといえばこの人たちだろう
    2021/04/22
    yoku0825
    Club MySQL #5 ~SQLデータベースのセキュリティ

    View full-size slide

  2. MySQLでセキュリティって言われると思い出すやつ
    https://twitter.com/yoku0825/status/1103546004224135168
    1/23

    View full-size slide

  3. DavidとJack
    2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場
    人物
    MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防が
    れ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストー
    リー

    当時、二人の手口とそれを解説する @yyamasaki1さん の表情が俺の中で話題に
    2/23

    View full-size slide

  4. 今日はそんな彼らを紹
    介します(セキュリティ
    の話は出てきますん)
    3/23

    View full-size slide

  5. \こんばんは/
    yoku0825@とある企業のDBA
    オラクれない

    ポスグれない

    マイエスキューエる

    生息域
    Twitter: @yoku0825

    Blog: 日々の覚書

    日本MySQLユーザ会

    MySQL Casual

    4/23

    View full-size slide

  6. David
    https://twitter.com/yoku0825/status/778474134485413888
    6/23

    View full-size slide

  7. David
    URLや環境変数を使わず、直接生SQLにインジェクションしていく
    なんか俺の知ってるSQLインジェクションとちょっと違う気はする

    mysql コマンドラインクライアントでSQLインジェクションを試すなんて!
    わるい、わるいなぁー!
    7/23

    View full-size slide

  8. Jack
    https://twitter.com/yoku0825/status/778474773206536193
    9/23

    View full-size slide

  9. Jack
    SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢え
    て一度ファイルに落とし込む!
    しかも root@localhost 以外でつける必要がそうそう無い File_priv 持ったアカウ
    ントでログインしてるぞ!
    わるい、わるいなぁー!
    10/23

    View full-size slide

  10. この二人、なん
    とタッグを組む
    11/23

    View full-size slide

  11. この二人、なんとタッグを組む
    https://twitter.com/yoku0825/status/778475207962918912
    12/23

    View full-size slide

  12. この二人、なんとタッグを組む
    深夜のオフィスからハードディスクを盗み出す
    「だが! ハードディスクを盗んでもInnoDB Transparent Encryptionがあるので
    データは読み出せないのであった!」というオチなんだけど
    わるい、わるいなぁー!
    13/23

    View full-size slide

  13. yoku0825
    https://twitter.com/yoku0825/status/778475378536886272
    14/23

    View full-size slide

  14. yyamasaki1
    「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、ど
    うしてもスライドの通り発表しなければならなかった」
    などと後日供述しており
    それがまた俺のツボにハマる
    15/23

    View full-size slide

  15. yoku0825
    https://twitter.com/yoku0825/status/778475871023661057
    16/23

    View full-size slide

  16. DavidとJackの犯行は未
    然に防がれた、そう、マイ
    エスキューエルエンタープ
    ライズならね!()
    17/23

    View full-size slide

  17. めでたしめ
    でたし
    18/23

    View full-size slide

  18. ( ゚д゚)
    19/23

    View full-size slide

  19. (゚д゚)
    20/23

    View full-size slide

  20. (゚д゚ )
    21/23

    View full-size slide

  21. 以上、MySQLのセ
    キュリティの話でし
    た(?)
    22/23

    View full-size slide