2015年10月1日木曜日

PHPカンファレンス2015にてトークします

PHPカンファレンス2015にてトークする機会を頂きましたので報告します。

日時:2015年10月3日(土曜日) 10時~17時(徳丸の出番は10:50~11:50)
場所:大田区産業プラザ PiO
費用:無料
講演タイトル:今どきのSQLインジェクションの話題総まとめ

講演の概要は以下となります。技術よりの話題で、デモあり(たくさん仕込みたいですね)、初級~中級です。
  • SQLインジェクション対策もれの責任を開発会社に問う判決
  • PHP入門書のSQLインジェクション脆弱性の状況
  • O/RマッパやSQLジェネレーターのSQLインジェクションの話題
「SQLインジェクション対策もれの責任を開発会社に問う判決」はこちらで記事に書いた内容の紹介になります。問題のECサイトはEC-CUBEをカスタマイズしたものでしたので、つまりPHPで書かれたアプリケーションのSQLインジェクションだったというわけで、PHPカンファレンスの来場者にとって切実な話題ではないかと思います。

PHP入門書のSQLインジェクションについては、明るい話題になるのではないかと思いますw

O/RマッパやSQLジェネレーターのSQLインジェクションの話題については、以下を紹介しようと思います。
  • Rails SQL Injection Examplesの紹介
  • Zend FrameworkのSQLインジェクション
  • JSON SQL Injection
  • Drupageddon(CVE-2014-3704) 
RailsはPHPじゃないじゃないか…というツッコミが入りそうですが、フレームワークやO/Rマッパを使う上で注意すべき内容として、PHPプログラマにも参考になる話題です。そして、Zend FrameworkのSQLインジェクションでも類似の問題が出ていることも、その主張の補強になると考えます。
JSON SQL Injectionは奥一穂さんや、はるぶさんからPerlを題材として紹介されたものですが、実はPHPの方が問題になりやすいという紹介になります。
Drupageddonは、日本ではあまり話題になりませんでしたが、大変凶悪な脆弱性として世界レベルで問題になりました。技術的にも大変興味深いものですし、SQLジェネレーターを作る側としての注意点として参考になるものです。

そして…
Makoto Kuwataさんからは、私のトークに対する「回答」と思われる講演が用意されていますね。示し合わせたわけではありませんので、余計に素晴らしいと思いました。
ということで、
  • まず徳丸の講演で問題点を知る
  • kuwataさんの講演で対応の考え方を知る
という、セットでお聞きになるとよろしいかと思いますw

それでは、10月3日PiOでお会いしましょう。


【HASHコンサルティング広告】
HASHコンサルティング株式会社は、セキュリティエンジニアを募集しています。
興味のある方は、twitterfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。


0 件のコメント:

コメントを投稿

フォロワー

ブログ アーカイブ