Club MySQL #5 ～SQLデータベースのセキュリティ

yoku0825 @yoku0825

吹いたｗｗｗｗｗ #mysql_jp

Mitani @mita2

徳丸先生のZoom背景w #mysql_jp

yoku0825 @yoku0825

データベースをめぐる脅威 #mysql_jp

yoku0825 @yoku0825

暗黙の型変換 #mysql_jp

𝕏 @xcxcu2

同僚の給与を知ろうとしたDavid と 退職を決意して…なJack #mysql_jp pic.twitter.com/yq1P5uncGw

拡大

拡大

へっぽこ＠憑かれました @guin_y

データベースのセキュリティ視聴中 #mysql_jp

yoku0825 @yoku0825

いわゆるウェブサービスの構成で、データベースが直接インターネットに面していない状態を想定 #mysql_jp

yoku0825 @yoku0825

Davidと同じ手口だ…わるいなぁ… #mysql_jp

hmatsu47(まつ) @hmatsu47

そういや昨日あたりにzipを使ったパストラバーサルの話とかやってたな（JJUGで）。DBじゃないけど。 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

「でもこれ、(せいぜい)郵便番号ですから」www #mysql_jp

yoku0825 @yoku0825

余談ですが、MySQLのinformation_schema.schemataやtablesがSELECTできるかどうかはテーブル本体がSELECTできるかどうかに依存するので、i_s単体でSELECTを制限することはできないのです #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

けんつさんのポートフォリオサイトで遊んだ時の手口だなぁｗ＞I_Sとか見たりする #mysql_jp

hmatsu47(まつ) @hmatsu47

そのEC-CUBEの運営元×漏れた郵便番号次第ではk-匿名性の問題はあるかも。 #mysql_jp

kk2170@悪影響を及ぼす @kk2170

やはりplease句を追加して付けないとそっぽ向くようなのが必要かもしれない #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

すげぇ、、なんでもできるｗ　（GETで何やら送り込んだだけなのに） #mysql_jp

hmatsu47(まつ) @hmatsu47

懐かしい話をだんだん思い出してきた。 #mysql_jp

yoku0825 @yoku0825

これか、Adminer #mysql_jp Adminer - Database management in a single PHP file adminer.org

Yukiharu YABUKI bot @YukiharuYABUKI

Movable Type へー、WAFをくぐり抜けての攻撃か #mysql_jp

kk2170@悪影響を及ぼす @kk2170

ps -ef派なんですね。 #mysql_jp

yoku0825 @yoku0825

David出てきたｗｗｗｗ #mysql_jp

к ё м е @KeME_S

EC-CUBEにMovableType・・・ 仕事柄なじみ有り過ぎてドキドキするｗ #mysql_jp

yoku0825 @yoku0825

wwwwww #mysql_jp

とみたまさひろ🍣🍺 @tmtms

David ここにも登場 #mysql_jp

Mitani @mita2

David は悪いやつ #mysql_jp

yoku0825 @yoku0825

Jackｗｗｗｗｗ #mysql_jp