DavidとJackとMySQLのセキュリティと

Transcript

1. DavidとJackとMySQLのセキュリティと MySQLのセキュリティといえばこの人たちだろう 2021/04/22 yoku0825 Club MySQL #5 ～SQLデータベースのセキュリティ

2. MySQLでセキュリティって言われると思い出すやつ https://twitter.com/yoku0825/status/1103546004224135168 1/23

3. DavidとJack 2016年にオラクル青山で開かれたMySQLセミナーのスライドの中に出てきた登場 人物 MySQL Enterprise Firewallが製品リリースされた時期で、「DavidとJackの犯行は未然に防が れ、世界に平和が取り戻された。マイエスキューエルエンタープライズ万歳」みたいなストー リー ‐ 当時、二人の手口とそれを解説する

   @yyamasaki1さん の表情が俺の中で話題に 2/23

4. 今日はそんな彼らを紹 介します(セキュリティ の話は出てきますん) 3/23

5. ＼こんばんは／ yoku0825＠とある企業のDBA オラクれない ‐ ポスグれない ‐ マイエスキューエる ‐ 生息域 Twitter:

   @yoku0825 ‐ Blog: 日々の覚書 ‐ 日本MySQLユーザ会 ‐ MySQL Casual ‐ 4/23

6. David 5/23

7. David https://twitter.com/yoku0825/status/778474134485413888 6/23

8. David URLや環境変数を使わず、直接生SQLにインジェクションしていく なんか俺の知ってるSQLインジェクションとちょっと違う気はする ‐ mysql コマンドラインクライアントでSQLインジェクションを試すなんて！ わるい、わるいなぁー！ 7/23

9. Jack 8/23

10. Jack https://twitter.com/yoku0825/status/778474773206536193 9/23

11. Jack SELECT * INTO OUTFILE .. ってことはDBサーバーに直接アクセスできるのに敢え て一度ファイルに落とし込む！ しかも root@localhost

    以外でつける必要がそうそう無い File_priv 持ったアカウ ントでログインしてるぞ！ わるい、わるいなぁー！ 10/23

12. この二人、なん とタッグを組む 11/23

13. この二人、なんとタッグを組む https://twitter.com/yoku0825/status/778475207962918912 12/23

14. この二人、なんとタッグを組む 深夜のオフィスからハードディスクを盗み出す 「だが！ ハードディスクを盗んでもInnoDB Transparent Encryptionがあるので データは読み出せないのであった！」というオチなんだけど わるい、わるいなぁー！ 13/23

15. yoku0825 https://twitter.com/yoku0825/status/778475378536886272 14/23

16. yyamasaki1 「本国で行われた大本営発表をそのまま日本語で説明するセミナーだったので、ど うしてもスライドの通り発表しなければならなかった」 などと後日供述しており それがまた俺のツボにハマる 15/23

17. yoku0825 https://twitter.com/yoku0825/status/778475871023661057 16/23

18. DavidとJackの犯行は未 然に防がれた、そう、マイ エスキューエルエンタープ ライズならね！（） 17/23

19. めでたしめ でたし 18/23

20. ( ﾟдﾟ) 19/23

21. (ﾟдﾟ) 20/23

22. (ﾟдﾟ ) 21/23

23. 以上、MySQLのセ キュリティの話でし た(?) 22/23

24. 完 23/23