PHP系フレームワークもインジェクション！徳丸先生による「実例で感じるセキュリティー対策」 #phpcon2015 #phpcon2015_1

otter - Yui Takeuchi @omohayui

perlのSQL:Makerが出てきてちょっとどきどきした。at 徳丸先生のSQLインジェクションのお話 #phpcon2015

kazu @ykz614n

開発工程でセキュリティ対策するのが最も効率が良い！ #phpcon2015 pic.twitter.com/5yJlwR51QO

拡大

濱内◆インセンブル @y_hamauchi

恐ろしいDrupageddon(°_°) #phpcon2015

いっせー🐷 @issei126

フレームワークやライブラリが完全にSQLインジェクション対策できているとは限らないので使うのには自分での判断と注意が必要　って感じかな #phpcon2015_1

山岡広幸｜合同会社テンマド @hiro_y

「ますますイヤな予感がされるわけでございます」 #phpcon2015_1

y.sakamaki @mesaka2009

IN句の自動生成が脆弱性なのでは？別メソッドで明示的に生成する方がいいな。 #phpcon2015

y.sakamaki @mesaka2009

Drupalが徳丸先生にボコられてる…( ´Д`)y━･~~ #phpcon2015

デジタルサーカス @dgcircus

デジタルサーカスのホームページも、もちろんdrupalで動いています。 #phpcon2015 pic.twitter.com/Tfw5gR4OhA

拡大

y.sakamaki @mesaka2009

デモでDrupalの管理者権限乗っ取ちゃったよw #phpcon2015

neigh @Goryudyuma

徳丸さん怖いw #phpcon2015

Keeth@ゆめみ🎤音声配信系エンジニア @kuwahara_jsri

Drupageddon怖い… #phpcon2015

Akira Murata @Subaru365

連想配列のキーが外部入力に入る可能性を考慮する #phpcon2015

のりのり @norinori2222

DrupalのSQLインジェクションおそろしい。。。WebサービスやSQLジェネレータでもSQLインジェクションが。。。 #phpcon2015

y.sakamaki @mesaka2009

1)SQLインジェクションは開発社側の重過失責任 2)PHP入門書はSQLインジェクション対策はほぼ大丈夫。だが他のセキュリティバグがまだまだある。 3)SQLジェネレーターには気をつけろ #phpcon2015

suzuki @suzuki

SQLインジェクション判例は、EC-CUBE のカスタマイズ部分で発生したと思われる。契約では構築時以降のセキュリティパッチ対応が含まれていなかったらしい。発注者も受注者もこの辺を気をつけないとねー #phpcon2015 #phpcon2015_1

みょこ @myokoym

使用しているライブラリに対するセキュリティパッチ適用も契約で提案したほうが無難 #phpcon2015_1

たけ @ww24

セキュリティの改善提案は受け入れられないと分かっていても、身を守るためにするべき。 #phpcon2015

いっせー🐷 @issei126

（意訳）責任を追求されなくなかったら徳丸本の内容は守っておこう #phpcon2015_1

debiru @debiru

SQL インジェクションで開発会社が裁判で云々の件、状況的にカスタマイズ部分に脆弱性があったと考えられるので責任を問われるのは妥当な面もあるという補足。 #phpcon2015

y.sakamaki @mesaka2009

セキュリティ対策は開発側が「専門家としての責務」の最低限の知識は「IPAの安全なwebサイトの作り方」が一応基準となる。 #phpcon2015

debiru @debiru

SQL インジェクションの件とは関係なく、一般に、CMS などを案件で使う場合、納品後のパッチ適用やセキュリティアップデートの運用について、せめて提案した方がよいとの話。納品して終わり案件でも、将来的なセキュリティの話は伝えるべきということですね。 #phpcon2015

みょこ @myokoym

判例はSQLインジェクションで、他の脆弱性の場合に過失になるかはわからないが、このあたりはチェックしておいたほうがよさそう #phpcon2015_1 / 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構 - ipa.go.jp/security/vuln/…