Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DavidとJackとMySQLのセキュリティと

yoku0825
April 22, 2021
Technology
0
580

 DavidとJackとMySQLのセキュリティと

2021/04/22 Club MySQL #5 ~SQLデータベースのセキュリティ
https://mysql.connpass.com/event/208575/

yoku0825

April 22, 2021
Tweet

More Decks by yoku0825

See All by yoku0825
2022年のMySQLerが20年前のMySQL 4.0に触ると何が起きるか
yoku0825
0
79
テストデータが偏るということについて
yoku0825
2
6.6k
MySQLが得意なこと、不得意なこと(仮)
yoku0825
11
13k
MySQLとインデックスとPHPer
yoku0825
8
7.3k
MySQLとインデックスと私
yoku0825
58
42k
ぼくがかんがえたさいきょうのMySQLの監視スクリプトを読み解く
yoku0825
2
2.4k
Perl MongersのためのMySQL InnoDB Cluster超入門
yoku0825
3
9.3k
MySQL on IaaSのインスタンスサイズチューニングについて考えてみた
yoku0825
0
400
MySQL on IaaSの運用あれやこれや
yoku0825
2
570

Other Decks in Technology

See All in Technology
Enabling Developers in a Multi-Cloud World :: GOTO Aarhus 2023
salaboy
0
110
Datadogで実現するセキュリティ オブザーバビリティ
taka2noda
1
130
ハッカソンにおけるiOSアプリ開発での学びと楽しさ
ojun9
1
160
全世界のユーザー体験の改善にNew Relic Mobileをどのように活用したか/How New Relic Mobile was used to improve the global user experience
isaoshimizu
2
360
周りが強すぎて現実逃避でOSS活動始めた結果
bun913
0
460
User Story Mapping - Scrum Niigata
kawaguti
PRO
5
2.3k
データマイニングと機械学習-K近傍法 & 機械学習のお作法
trycycle
0
170
Start graceful degradation
line_developers
PRO
3
1k
ほーるちーむあぷろーち for babies #scrumniigata #SigSQA / Whole-Team Approach (WhTA) for babies
caori_t
1
420
Amazon VPC Lattice を使い始める前におさえておきたいポイント n 選 / Introduction to VPC Lattice
hayaok3
1
740
20230519_企業でのChatGPT活用と注意点(15min版)_v1.00_共有用
doradora09
0
230
Microsoft Fabric のユースケース整理
ryomaru0825
1
140

Featured

See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
The World Runs on Bad Software
bkeepers
PRO
59
5.9k
Making the Leap to Tech Lead
cromwellryan
118
7.8k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
183
15k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
8.2k
The Art of Programming - Codeland 2020
erikaheidi
37
11k
Making Projects Easy
brettharned
102
5k
Writing Fast Ruby
sferik
613
58k
Rails Girls Zürich Keynote
gr2m
89
12k
Clear Off the Table
cherdarchuk
81
300k
A designer walks into a library…
pauljervisheath
199
17k
KATA
mclloyd
13
10k

Transcript

  1. DavidとJackとMySQLのセキュリティと
    MySQLのセキュリティといえばこの人たちだろう
    2021/04/22
    yoku0825
    Club MySQL #5 ~SQLデータベースのセキュリティ

    View Slide

  2. MySQLでセキュリティって言われると思い出すやつ
    https://twitter.com/yoku0825/status/1103546004224135168
    1/23

    View Slide

  3. DavidとJack
    2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場
    人物
    MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防が
    れ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストー
    リー

    当時、二人の手口とそれを解説する @yyamasaki1さん の表情が俺の中で話題に
    2/23

    View Slide

  4. 今日はそんな彼らを紹
    介します(セキュリティ
    の話は出てきますん)
    3/23

    View Slide

  5. \こんばんは/
    yoku0825@とある企業のDBA
    オラクれない

    ポスグれない

    マイエスキューエる

    生息域
    Twitter: @yoku0825

    Blog: 日々の覚書

    日本MySQLユーザ会

    MySQL Casual

    4/23

    View Slide

  6. David
    5/23

    View Slide

  7. David
    https://twitter.com/yoku0825/status/778474134485413888
    6/23

    View Slide

  8. David
    URLや環境変数を使わず、直接生SQLにインジェクションしていく
    なんか俺の知ってるSQLインジェクションとちょっと違う気はする

    mysql コマンドラインクライアントでSQLインジェクションを試すなんて!
    わるい、わるいなぁー!
    7/23

    View Slide

  9. Jack
    8/23

    View Slide

  10. Jack
    https://twitter.com/yoku0825/status/778474773206536193
    9/23

    View Slide

  11. Jack
    SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢え
    て一度ファイルに落とし込む!
    しかも [email protected] 以外でつける必要がそうそう無い File_priv 持ったアカウ
    ントでログインしてるぞ!
    わるい、わるいなぁー!
    10/23

    View Slide

  12. この二人、なん
    とタッグを組む
    11/23

    View Slide

  13. この二人、なんとタッグを組む
    https://twitter.com/yoku0825/status/778475207962918912
    12/23

    View Slide

  14. この二人、なんとタッグを組む
    深夜のオフィスからハードディスクを盗み出す
    「だが! ハードディスクを盗んでもInnoDB Transparent Encryptionがあるので
    データは読み出せないのであった!」というオチなんだけど
    わるい、わるいなぁー!
    13/23

    View Slide

  15. yoku0825
    https://twitter.com/yoku0825/status/778475378536886272
    14/23

    View Slide

  16. yyamasaki1
    「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、ど
    うしてもスライドの通り発表しなければならなかった」
    などと後日供述しており
    それがまた俺のツボにハマる
    15/23

    View Slide

  17. yoku0825
    https://twitter.com/yoku0825/status/778475871023661057
    16/23

    View Slide

  18. DavidとJackの犯行は未
    然に防がれた、そう、マイ
    エスキューエルエンタープ
    ライズならね!()
    17/23

    View Slide

  19. めでたしめ
    でたし
    18/23

    View Slide

  20. ( ゚д゚)
    19/23

    View Slide

  21. (゚д゚)
    20/23

    View Slide

  22. (゚д゚ )
    21/23

    View Slide

  23. 以上、MySQLのセ
    キュリティの話でし
    た(?)
    22/23

    View Slide


  24. 23/23

    View Slide