はじめに

私は、私でしかない♪ ミリアニ浴びてるnikkieです。

タイトルが全てです。
10/7(土)はサイボウズさん東京オフィスで僕と握手！

目次

• はじめに
• 目次
• DjangoCongress JP 2023
• Djangoアプリに作り込んで学ぶ脆弱性（SQLインジェクションとXSS篇）
  • 想定する聴衆＝過去の自分
  • 構成（予定）
  • 発表を聞いて持ち帰れるもの
• 他にもこんなトークが！
• チケットは9/4(月)の週に発売予定！ -> 9/4〜発売中
• 終わりに
• P.S. 脆弱性に興味を持ったきっかけ
• 更新履歴

DjangoCongress JP 2023

DjangoCongress JPは、Djangoでアプリケーションを開発している人、Djangoを学んでいる人などDjangoに関わる全ての人が参加できます。

10/7(土)、東京都中央区のサイボウズさんオフィスで開催！
こちらの会場は2019年ぶりでしょうか。

8/21までプロポーザルを募集していて、先日トーク一覧が出揃いました！

トーク・発表者の一覧が公開されました！今年も興味深い内容が盛りだくさんで、初心者の人から業務でバリバリの人までぜひお越しください #djangocongress https://t.co/7bF54ZrYZ0

— django-ja (@django_ja) 2023年9月1日

Djangoアプリに作り込んで学ぶ脆弱性（SQLインジェクションとXSS篇）

私は脆弱性について話します。
https://djangocongress.jp/#talk-7 より一部抜粋

Webアプリケーションの脆弱性について、「脆弱性を突いてどのような攻撃ができてしまうのか」「Djangoでどのような実装をすると脆弱性を埋め込むことになるのか」を共有します。

サイトの概要を補足する内容を、手元のプロポーザル原文から公開していきます。

想定する聴衆＝過去の自分

• Djangoの入門者（Django Girls Tutorialや同様のチュートリアルを1周している）
• Webアプリケーションの脆弱性って大事って聞いたことあるけど、攻撃されるとどんな問題が起こるのか、実は解像度高く理解はできていないんだよねという方
• 問題のあるWebアプリケーションをあくまで自分の学習のために攻撃してみたい方（※本当にこのトークの中だけにしてくださいね）
• （Djangoを使って趣味でも実務でもアプリを作っているけれど、SQLインジェクションやXSSって人に説明できないなという方は、ぜひこっそり聞きに来てください）

構成（予定）

• イントロダクション（3分）
  • 脆弱性を学ぶためのトークで、やられアプリ以外に適用してはならないことを伝えます
• SQLインジェクション（20分）
  • SQLインジェクションとはなにか（サンプルアプリを攻撃するデモをします。DBからデータが消えます）
  • どのように実装するとSQLインジェクションの脆弱性を埋め込んでしまうのか
  • SQLインジェクションの脆弱性を埋め込まない実装
  • 小話として、DBの復旧に使うmanage.pyのコマンドについて
  • 静的解析で気付けるツールBanditを紹介
• XSS（クロスサイトスクリプティング）（20分）
  • XSSとはなにか（サンプルアプリを攻撃するデモをします。JavaScriptを実行できてしまうことを示し、攻撃例としてユーザのクッキーを他サイトに送信します）
  • どのように実装するとXSSの脆弱性を埋め込んでしまうのか
  • XSSの脆弱性を埋め込まない実装
• まとめ（2分）
  • ユーザ入力を信用してはならぬ

発表を聞いて持ち帰れるもの

• SQLインジェクションについて、どんな攻撃で、どのように対策するかがわかる（+説明できる）
• XSSについてどんな攻撃で、どのように対策するかがわかる（+説明できる）
• 私は学習目的で攻撃してみてめちゃめちゃ興味を持ったので、同じ体験を提供して、一人でも多く脆弱性を学ぶことに興味を持っていただけたら嬉しいです

他にもこんなトークが！

（気づいた範囲で更新します）

先日発表されましたが、10/7のDjangoCongress JP 2023にて「データ分析者にとってのDjango: StreamlitやDashとの比較」というテーマで登壇させていただきます。登壇の準備、がんばります！是非発表を聴きに来てください！ #djangocongress https://t.co/KyTuEiyz52

— ksnt (takayuki kaisen) (@ksnt0215) 2023年9月2日

会社の先輩からの後押しもあり、CfP応募して通ったのでまだまだDjango学習中ですが登壇します！ DjangoCongress JP 2023 に参加を申し込みました！ https://t.co/dJMF5afmK5 #djangocongress

— nibu / Yumihiki (@YumihikiDev) 2023年9月4日

チケットは9/4(月)の週に発売予定！ -> 9/4〜発売中

チケットの販売開始は来週を予定しています。ぜひこちらのアカウントをフォローしてお待ちください！

— django-ja (@django_ja) 2023年9月1日

DjangoCongress JP 2023のチケット販売が開始されました！先着順になります #djangocongressjp https://t.co/SwZkJqLQ7E

— django-ja (@django_ja) 2023年9月4日

わくわくですね！

終わりに

10/7(土)のDjangoCongress JP 2023で脆弱性について話します。
各自の学習のため、この時間だけやられアプリに一緒に悪いことしましょう！

準備の様子はこちら

1日1エントリとも絡めて引き続き準備していきます〜

P.S. 脆弱性に興味を持ったきっかけ

弊社のハンズオンがきっかけなのです！

自分で攻撃してみたら「脆弱性学ぶの面白いぞ」ってなりました。
脆弱性を自分ごと化できたってことでしょうか？
いまは興味のままに突き動かされるのみです！

更新履歴

• 2023/09/04 チケット発売開始を反映。Yumihikiさんトーク追加