日時:2015年10月3日(土曜日) 10時~17時(徳丸の出番は10:50~11:50)
場所:大田区産業プラザ PiO
費用:無料
講演タイトル:今どきのSQLインジェクションの話題総まとめ
講演の概要は以下となります。技術よりの話題で、デモあり(たくさん仕込みたいですね)、初級~中級です。
- SQLインジェクション対策もれの責任を開発会社に問う判決
- PHP入門書のSQLインジェクション脆弱性の状況
- O/RマッパやSQLジェネレーターのSQLインジェクションの話題
PHP入門書のSQLインジェクションについては、明るい話題になるのではないかと思いますw
O/RマッパやSQLジェネレーターのSQLインジェクションの話題については、以下を紹介しようと思います。
- Rails SQL Injection Examplesの紹介
- Zend FrameworkのSQLインジェクション
- JSON SQL Injection
- Drupageddon(CVE-2014-3704)
JSON SQL Injectionは奥一穂さんや、はるぶさんからPerlを題材として紹介されたものですが、実はPHPの方が問題になりやすいという紹介になります。
Drupageddonは、日本ではあまり話題になりませんでしたが、大変凶悪な脆弱性として世界レベルで問題になりました。技術的にも大変興味深いものですし、SQLジェネレーターを作る側としての注意点として参考になるものです。
そして…
Makoto Kuwataさんからは、私のトークに対する「回答」と思われる講演が用意されていますね。示し合わせたわけではありませんので、余計に素晴らしいと思いました。
ということで、
- まず徳丸の講演で問題点を知る
- kuwataさんの講演で対応の考え方を知る
それでは、10月3日PiOでお会いしましょう。
【HASHコンサルティング広告】
HASHコンサルティング株式会社は、セキュリティエンジニアを募集しています。
興味のある方は、twitterやfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。
0 件のコメント:
コメントを投稿