Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DavidとJackとMySQLのセキュリティと
Search
yoku0825
April 22, 2021
Technology
0
790
DavidとJackとMySQLのセキュリティと
2021/04/22 Club MySQL #5 ~SQLデータベースのセキュリティ
https://mysql.connpass.com/event/208575/
yoku0825
April 22, 2021
Tweet
Share
More Decks by yoku0825
See All by yoku0825
MySQLのロックの種類とその競合
yoku0825
10
3.4k
MySQL 8.4 LTS が あらわれた
yoku0825
2
1.4k
ぼくたちはMySQL 8.1とどう生きるか
yoku0825
6
2.5k
2022年のMySQLerが20年前のMySQL 4.0に触ると何が起きるか
yoku0825
0
410
テストデータが偏るということについて
yoku0825
3
8.7k
MySQLが得意なこと、不得意なこと(仮)
yoku0825
12
13k
MySQLとインデックスとPHPer
yoku0825
8
8.1k
MySQLとインデックスと私
yoku0825
79
58k
ぼくがかんがえたさいきょうのMySQLの監視スクリプトを読み解く
yoku0825
2
3.1k
Other Decks in Technology
See All in Technology
2025年のARグラスの潮流
kotauchisunsun
0
790
RubyでKubernetesプログラミング
sat
PRO
4
160
AWS re:Invent 2024 recap in 20min / JAWSUG 千葉 2025.1.14
shimy
1
100
信頼されるためにやったこと、 やらなかったこと。/What we did to be trusted, What we did not do.
bitkey
PRO
0
2.2k
ABWGのRe:Cap!
hm5ug
1
120
CDKのコードレビューを楽にするパッケージcdk-mentorを作ってみた/cdk-mentor
tomoki10
0
210
dbtを中心にして組織のアジリティとガバナンスのトレードオンを考えてみた
gappy50
0
230
Amazon Route 53, 待ちに待った TLSAレコードのサポート開始
kenichinakamura
0
160
GeometryReaderやスクロールを用いた表現と紐解き方
fumiyasac0921
0
100
デジタルアイデンティティ技術 認可・ID連携・認証 応用 / 20250114-OIDF-J-EduWG-TechSWG
oidfj
2
670
EMConf JP の楽しみ方 / How to enjoy EMConf JP
pauli
2
150
#TRG24 / David Cuartielles / Post Open Source
tarugoconf
0
580
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
The Invisible Side of Design
smashingmag
299
50k
GitHub's CSS Performance
jonrohan
1030
460k
Scaling GitHub
holman
459
140k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.6k
The Pragmatic Product Professional
lauravandoore
32
6.4k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
98
18k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
3
180
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
570
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
Transcript
DavidとJackとMySQLのセキュリティと MySQLのセキュリティといえばこの人たちだろう 2021/04/22 yoku0825 Club MySQL #5 ~SQLデータベースのセキュリティ
MySQLでセキュリティって言われると思い出すやつ https://twitter.com/yoku0825/status/1103546004224135168 1/23
DavidとJack 2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場 人物 MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防が れ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストー リー ‐ 当時、二人の手口とそれを解説する
@yyamasaki1さん の表情が俺の中で話題に 2/23
今日はそんな彼らを紹 介します(セキュリティ の話は出てきますん) 3/23
\こんばんは/ yoku0825@とある企業のDBA オラクれない ‐ ポスグれない ‐ マイエスキューエる ‐ 生息域 Twitter:
@yoku0825 ‐ Blog: 日々の覚書 ‐ 日本MySQLユーザ会 ‐ MySQL Casual ‐ 4/23
David 5/23
David https://twitter.com/yoku0825/status/778474134485413888 6/23
David URLや環境変数を使わず、直接生SQLにインジェクションしていく なんか俺の知ってるSQLインジェクションとちょっと違う気はする ‐ mysql コマンドラインクライアントでSQLインジェクションを試すなんて! わるい、わるいなぁー! 7/23
Jack 8/23
Jack https://twitter.com/yoku0825/status/778474773206536193 9/23
Jack SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢え て一度ファイルに落とし込む! しかも root@localhost
以外でつける必要がそうそう無い File_priv 持ったアカウ ントでログインしてるぞ! わるい、わるいなぁー! 10/23
この二人、なん とタッグを組む 11/23
この二人、なんとタッグを組む https://twitter.com/yoku0825/status/778475207962918912 12/23
この二人、なんとタッグを組む 深夜のオフィスからハードディスクを盗み出す 「だが! ハードディスクを盗んでもInnoDB Transparent Encryptionがあるので データは読み出せないのであった!」というオチなんだけど わるい、わるいなぁー! 13/23
yoku0825 https://twitter.com/yoku0825/status/778475378536886272 14/23
yyamasaki1 「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、ど うしてもスライドの通り発表しなければならなかった」 などと後日供述しており それがまた俺のツボにハマる 15/23
yoku0825 https://twitter.com/yoku0825/status/778475871023661057 16/23
DavidとJackの犯行は未 然に防がれた、そう、マイ エスキューエルエンタープ ライズならね!() 17/23
めでたしめ でたし 18/23
( ゚д゚) 19/23
(゚д゚) 20/23
(゚д゚ ) 21/23
以上、MySQLのセ キュリティの話でし た(?) 22/23
完 23/23
yoku0825
kotauchisunsun
sat
shimy
bitkey
hm5ug
tomoki10
gappy50
kenichinakamura
fumiyasac0921
oidfj
pauli
tarugoconf
malarkey
smashingmag
jonrohan
holman
kastner
lauravandoore
panda_program
tammyeverts
sergeychernyshev
marcduiker
pedronauck
