Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DavidとJackとMySQLのセキュリティと
Search
yoku0825
April 22, 2021
Technology
0
730
DavidとJackとMySQLのセキュリティと
2021/04/22 Club MySQL #5 ~SQLデータベースのセキュリティ
https://mysql.connpass.com/event/208575/
yoku0825
April 22, 2021
Tweet
Share
More Decks by yoku0825
See All by yoku0825
MySQLのロックの種類とその競合
yoku0825
6
1.6k
MySQL 8.4 LTS が あらわれた
yoku0825
1
350
ぼくたちはMySQL 8.1とどう生きるか
yoku0825
6
2.2k
2022年のMySQLerが20年前のMySQL 4.0に触ると何が起きるか
yoku0825
0
310
テストデータが偏るということについて
yoku0825
3
8.4k
MySQLが得意なこと、不得意なこと(仮)
yoku0825
12
13k
MySQLとインデックスとPHPer
yoku0825
8
7.9k
MySQLとインデックスと私
yoku0825
63
52k
ぼくがかんがえたさいきょうのMySQLの監視スクリプトを読み解く
yoku0825
2
2.9k
Other Decks in Technology
See All in Technology
データ分析を支える技術 生成AI再入門
ishikawa_satoru
0
380
RAGのサービスをリリースして1年3ヶ月が経ちました
segavvy
4
930
サーバーレスAPI(API Gateway+Lambda)とNext.jsで 個人ブログを作ろう!
shuntaka
PRO
0
560
AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略(JAWS-UG朝会#59資料改修20分版)
htan
0
330
ギークの理想が7つ集まるエムスリーで夢を叶えよう - エムスリー株式会社
m3_engineering
1
260
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
opelab
10
4.3k
ペパボのオブザーバビリティ研修2024 説明資料
kesompochy
0
1.1k
累計ダウンロード数1億8000万を超えるアプリケーションプラットフォームのレガシーシステム脱却とモダン化への道
kmitsuhashi
0
120
AI研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
130
DevIO2024_レガシー運用からの脱却 -クラウド活用の実践事例とベストプラクティス-
jun2882
0
210
データ分析基盤を作ってみよう~設計編~
nrinetcom
PRO
1
110
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
270
Featured
See All Featured
Scaling GitHub
holman
458
140k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
26
1.6k
The Art of Programming - Codeland 2020
erikaheidi
48
13k
How to train your dragon (web standard)
notwaldorf
79
5.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
12
3.8k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
20
7.2k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.9k
The Invisible Side of Design
smashingmag
294
50k
Creatively Recalculating Your Daily Design Routine
revolveconf
214
11k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Atom: Resistance is Futile
akmur
261
25k
Speed Design
sergeychernyshev
9
270
Transcript
DavidとJackとMySQLのセキュリティと MySQLのセキュリティといえばこの人たちだろう 2021/04/22 yoku0825 Club MySQL #5 ~SQLデータベースのセキュリティ
MySQLでセキュリティって言われると思い出すやつ https://twitter.com/yoku0825/status/1103546004224135168 1/23
DavidとJack 2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場 人物 MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防が れ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストー リー ‐ 当時、二人の手口とそれを解説する
@yyamasaki1さん の表情が俺の中で話題に 2/23
今日はそんな彼らを紹 介します(セキュリティ の話は出てきますん) 3/23
\こんばんは/ yoku0825@とある企業のDBA オラクれない ‐ ポスグれない ‐ マイエスキューエる ‐ 生息域 Twitter:
@yoku0825 ‐ Blog: 日々の覚書 ‐ 日本MySQLユーザ会 ‐ MySQL Casual ‐ 4/23
David 5/23
David https://twitter.com/yoku0825/status/778474134485413888 6/23
David URLや環境変数を使わず、直接生SQLにインジェクションしていく なんか俺の知ってるSQLインジェクションとちょっと違う気はする ‐ mysql コマンドラインクライアントでSQLインジェクションを試すなんて! わるい、わるいなぁー! 7/23
Jack 8/23
Jack https://twitter.com/yoku0825/status/778474773206536193 9/23
Jack SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢え て一度ファイルに落とし込む! しかも root@localhost
以外でつける必要がそうそう無い File_priv 持ったアカウ ントでログインしてるぞ! わるい、わるいなぁー! 10/23
この二人、なん とタッグを組む 11/23
この二人、なんとタッグを組む https://twitter.com/yoku0825/status/778475207962918912 12/23
この二人、なんとタッグを組む 深夜のオフィスからハードディスクを盗み出す 「だが! ハードディスクを盗んでもInnoDB Transparent Encryptionがあるので データは読み出せないのであった!」というオチなんだけど わるい、わるいなぁー! 13/23
yoku0825 https://twitter.com/yoku0825/status/778475378536886272 14/23
yyamasaki1 「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、ど うしてもスライドの通り発表しなければならなかった」 などと後日供述しており それがまた俺のツボにハマる 15/23
yoku0825 https://twitter.com/yoku0825/status/778475871023661057 16/23
DavidとJackの犯行は未 然に防がれた、そう、マイ エスキューエルエンタープ ライズならね!() 17/23
めでたしめ でたし 18/23
( ゚д゚) 19/23
(゚д゚) 20/23
(゚д゚ ) 21/23
以上、MySQLのセ キュリティの話でし た(?) 22/23
完 23/23