Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Extreme Honyepotter

Avatar for yoshinori matsumoto yoshinori matsumoto
October 05, 2017
Technology
890
0

Extreme Honyepotter

WordPressよ永遠に

Avatar for yoshinori matsumoto

yoshinori matsumoto

October 05, 2017

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Avatar for yoshinori matsumoto ym405nm
0
330
Hack L33t Fighters Ⅱ #owaspsendai
Avatar for yoshinori matsumoto ym405nm
0
410
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
730
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
210
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.3k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
590

Other Decks in Technology

See All in Technology
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
Avatar for Katsuma Narisawa nullnull
3
380
製造業のクラウド活用最適解〜AI,DXを加速するデータ基盤の作り方〜
Avatar for 濱田孝治 hamadakoji
0
420
TypeScript Compiler APIとPHP-Parserを活用し、TypeScriptとPHPで型を共有する
Avatar for did0es shuta13
1
370
AIプラットフォームを運用し続けるための可観測性
Avatar for tanimuyk tanimuyk
4
1.2k
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
Avatar for Hiroshi Tokoyo htokoyo
2
300
SIer20年! 培ったスキルがスタートアップで輝く時
Avatar for しゅういちろ shucho0103
0
800
DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜
Avatar for nyankotaro nyankotaro
1
350
Agentic ERPをどう設計するか ー 受発注エージェントを動かす、現場の知見と設計思想ー
Avatar for 株式会社リチェルカ recerqainc
1
2k
10倍の生産性を実現するAI駆動並列エージェントのすべて
Avatar for 熊井悠 kumaiu
4
1.2k
Reliability in the Age of AI: Engineering for AI Velocity
Avatar for rrreeeyyy rrreeeyyy
0
110
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
Avatar for kinako askokc
0
150
あなたの AI ワークスペースに、 専門コーダーを連れてくる - Amazon Quick Desktop 最新情報
Avatar for kawaji kawaji_scratch
1
120

Featured

See All Featured
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
330
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.2k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
360
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
300
It's Worth the Effort
Avatar for 3n 3n
188
29k
Abbi's Birthday
Avatar for Violet Bock coloredviolet
2
8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
220
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
71
40k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
250

Transcript

  1. None

  2. 彡(゚)(゚) 今日の内容 • WordPressのセキュリティについて • WordPressの攻撃を集めてみた • WordPressの攻撃をExtremeに集める • 今後の展望

  3. WordPressの セキュリティについて

  4. 彡(゚)(゚) WordPressとは • オープンソースのCMS • ユーザシェアが圧倒的に多い • ユーザが多い反面、セキュリティ面で狙われるこ とがあり、被害を受けているサイトが多い 全体シェア

    マーケットシェア

  5. 彡(゚)(゚) WordPressの被害事例 • よく見られる改ざんパターン HACKED BY A HACKER <body><script…. ①

    攻撃者の名前や主張が 表示される場合 ② JavaScript が埋め込まれる

  6. 彡(゚)(゚) WordPressの被害事例 踏み台サイト (WordPress) 攻撃者 標的となる組織 ①マルウエア設置 ②標的型メール送信 ③誘導

  7. 彡(゚)(゚) 開発者・運用者の悩み • セキュリティ設定とか見たけど結構大変だし、 うちの運用では使えないのもチラホラ… • プラグイン入れたけど、これで大丈夫か心配 • どのような攻撃があるのか知りたい 彡(^)(^)「せや!攻撃あつめたろ!」

  8. WordPressの 攻撃を集めてみた

  9. 彡(゚)(゚) 作成したサイト • WordPressに対する攻撃を収集するツール • 攻撃を受けるWordPressを設置 • 実際はプロキシが全て取得してログを収集

  10. 彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP サーバ / ネットワークに対する攻撃 広範囲で行われる IPアドレスを使用している

    Webサーバに対する攻撃 使用するツール等を知っている (脆弱性を特定するため?)

  11. 彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP 静的ページ WordPress にする必要がある! dst_port :

    80

  12. 彡(゚)(゚) 考慮すべきこと • 攻撃を受け付けるサーバはWordPressである必要 がある • 何らかの方法で攻撃者に見つけてもらうサイトが 必要 “生きたサイト” を演じる

  13. 彡(゚)(゚) 生きたサイト • 自動的にサイトを更新 • 常に新しい情報を提供 13 Contents Websites RSS

    Reader Scraping Tweet Post on WordPress

  14. 彡(゚)(゚) システム概要

  15. 彡(゚)(゚) 作成したサイト(つづき) • 会場のみ

  16. 集計データ 会場のみ

  17. 彡(゚)(゚) ファイルアップロード 画像 攻撃用 WordPress テーマ 攻撃者によるアップロード方法 外部からアクセス可能

  18. 彡(゚)(゚) ここまでの成果 • WordPressに対する攻撃を収集することができた • ログイン画面に対する総当たり攻撃 • テーマ、テーマプラグインに対する攻撃 (OSSのハニポログと比べて、攻撃者はWPと分かって 攻撃してるっぽい?)

  19. Extreme に集める

  20. 彡(゚)(゚) すいません • ここから先は諸事情により公開できませんので、 かわりに私のクライマックスシリーズの予想を書 きたいと思います

  21. 彡(゚)(゚) CS2017予想 セ パ 1stステージ 阪神 西武 2ndステージ 広島 ソフトバンク

    日本シリーズ 広島 – ソフトバンク (2勝 – 4勝) どのチームもがんばるたま~

  22. 彡(゚)(゚) 今後の課題 今後の課題 • データ収集して、分析 • セキュリティ研究者、WordPress運用者との連携