はじめに
ありがとう夢色乙女1(〜10/19(木))、そして始まった豊洲ハロウィン! nikkieです。
タイトルが全てです!
もう1週間前になるんですね、DjangoCongress JP 20232で登壇しました。
目次
Djangoアプリに作り込んで学ぶ脆弱性(SQLインジェクションとXSS篇)
資料類
プロポーザル原文をこちらで公開しています。
発表スライド
やられサイトソースコード
発表中の様子
発表中の反応はTogetterをどうぞ(kashewさんありがとうございます!)
- https://togetter.com/li/2237876?page=10
- https://togetter.com/li/2237876?page=11
- https://togetter.com/li/2237876?page=12
聞いてくださった皆さまに「(エンジニアが言う意味での)完全に理解している方〜🙋♂️」と手を挙げていただいたところ
- SQLインジェクションは半数くらい手が挙がった記憶(※アーカイブ要確認)
- XSSは挙がった手が結構減った覚え(聞き方悪かったかも)
でした。
攻撃しているところを見ていただくという工夫が何か持ち帰れるものに繋がっていたら嬉しいです。
裏話を1つ、本番でトラブルありました
デモが円滑に行くようにカンペを用意していたのですが、急いで作りすぎたため、持続型XSSのカンペにXSSの入力例が漏れるという穴がありました。
穴はないと思っていたので動揺しつつも、なんとか軌道修正して発表とデモをやりきりました。
なので、記録していただいたこのあたりの発言は完全アドリブなんです3
「あーなるほど?」「1回落ち着こう!」 #djangocongress
— nibu / Yumihiki (@YumihikiDev) 2023年10月7日
いやー、上振れしてよかった〜〜(めっちゃホッとしてます)。
このあたりで「がんばれー」って聞こえた気がして、デモを通して会場と一体感があったなと思います。
応援いただき、ありがとうございました!
発表前後を通しての技術的な学び
今回は技術的な学びが多かったです🙌
Django自体めちゃめちゃ使っているわけではなく、私には知らないことが多い技術です。
DjangoとDockerを合わせて使ったのもほとんど初めてで、新しく知れたことが多々ありました。
発表前
docker composeとDjangoについての学びです。
記事にしきれていませんが、やられサイトソースコードが「WebアプリとDBの両方をdocker compose upで動かす」への現時点の結論です(タイミングがあれば記事にします)
発表後
質疑や感想から学びがありました。
見せていたセッションの値や、やられサイトの実装には私の勘違いがありました。
以下が訂正記事です。
感想をいただいて数日後に気づいたのは、やられサイトはもっと簡単に動かせるようにできたじゃん!
終わりに
DjangoCongress JP 2023での登壇報告でした。
「面白かった」という反応をいくつか観測しており、発表者として嬉しく思います(でへへ〜)。
ご感想やご反応(GitHubでのstarなど)としてアウトプットいただいたことに大変感謝しています!
このネタをシリーズ化するかは神の味噌汁ということで。
リポジトリは.env
周りのブラッシュアップをやり切ったり、スライドだけ見ても分かるようにやられサイトのスクショを入れたりと、もう少しだけ手を動かすつもりです(それ以降は未定)。
どなたでもフォークして残りの脆弱性についてデモ&発表していただいて、私としては全然構いません(代わりに発表したいと思っていただけただけでとっても嬉しいですから)
他のトークの感想も書きたいのですが、今回は登壇報告のみとします。
DjangoCongress JP 2023の登壇者、スタッフ、参加者の皆さま、素敵な1日をありがとうございました!