徳丸さん✕EC-CUBEのセミナー聞いてきた

EC-CUBE3の話。

まだ世の中で使われているのはEC-CUBE2系多いんだって。
オープンソースなので、すべては自己責任で使うこと。
セキュリティの勉強のために脆弱性対応されたコードを自分で読み解くのがカスタマイズする時の参考になる。脆弱性を作りこまないためにも、目を通しておくことが重要。

もうすぐEC-CUBE3.1になるということで、カスタマイズをしやすくするという命題をこのバージョンで解決していきたい、みたいなお話だった。

あとはこれ。カード情報の非保持化の話。
https://www.ec-cube.net/tsubo/2017/01/19/5740

徳丸さんの話。

最初に責任の所在の話。これは前に判例を交えた解説の記事を公開されていたので、その話を実際に聞けたのは嬉しい。
http://blog.tokumaru.org/2015/01/sql.html

攻撃デモも交えて、とてもわかりやすく脆弱性の中身を解説してくれた。
何が良かったかと言うと、脆弱性があるとどんな被害が出るかという具体的な動作を交えて見せてくれたところ。
ああ、そうか、知らない人はここに脆弱性があるって言ってもそれが何があかんのかもわからない。こういう状態の人でも理解できるだろうと思える内容だった。

ここからは自分の頭によぎった事のメモ。

レンサバで使うDBサーバってWEBサービスのサーバとは別に用意されている事が多いんだけど、利用者に提供されているのは、WEBサーバからの接続と、phpmyadminのような管理画面だけなんだよね。

このDB管理のためのアプリケーションにはログインアラートとかないしログも見れないんだけど、どこまで管理してくれてるのかなーってのが気になってた。
仮にウェブサイトが改ざん可能な状態だったとすると、wp-config.php の中身も取得できる。その中にはmysqlのアカウント情報が書かれてる。この情報だけ抜かれる事もあるはずだよなあ。ページが改ざんされたのなら発見できるけど、DB情報だけが抜かれている場合、どうやってそれを検知するんだろうねとか色々思っていたところ。

今回のセミナーの話とはずれるんだけどね。