Your SlideShare is downloading. ×
0
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

20140824 mt tokyo_slideshare

717

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
717
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2014年8月24日 シックス・アパート株式会社 長内 毅志 Movable TypeとCMSのセキュリティ
  • 2. •長内毅志 –2011年~ Movable Typeプロダクトマネージャー –2014年~ ディベロッパーリレーションマネージャー エバンジェリスト –ダンスとジョギングと家族が大好きです。
  • 3. アジェンダ •最近のWeb改ざん •どのような攻撃が存在するか •Movable Type の特徴と安全性 •安全性を高めるために
  • 4. 最近のWeb改ざん
  • 5. データ出典:JPCERT/CC インシデント報告対応レポート グラフ:http://www.nca.gr.jp/2013/web201303/
  • 6. ガンブラー http://www.ipa.go.jp/security/txt/2013/07outline.html
  • 7. 最近の改ざん手法 http://www.ipa.go.jp/security/txt/2013/07outline.html
  • 8. •CMSの管理権限を奪取してウェブサイトを 改ざん •CMSの公開ディレクトリに任意のファイル をアップロードしてウェブサイトを改ざん
  • 9. CMSに関するハッキングの傾向 •20%はCMSのコア部分にある脆弱性への 攻撃、80%はプラグインなど周辺プログラム の脆弱性を狙った攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  • 10. •http://jvndb.jvn.jp/
  • 11. ここまでのまとめ •最近のウェブ改ざんは、ウェブサーバーや CMSの脆弱性を狙って攻撃するケースが 多い
  • 12. どのような攻撃が存在するか
  • 13. もっとも多いパターン •使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  • 14. ブルートフォースアタック(総当り攻撃) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  • 15. ファイルアップロード攻撃(バックドア) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  • 16. その他 •SQLインジェクション •CSRF •XSS –主にソフトウェアの脆弱性を付くもの
  • 17. ここまでのまとめ •CMSが特定できると、攻撃しやすい •総当たり攻撃やファイルアップロード攻撃 など、攻撃者はCMSとプラグインの脆弱性 を狙って攻撃をおこなう
  • 18. Movable Type の特徴と安全性
  • 19. CMSサーバーと公開サーバーの分離
  • 20. ロックアウト
  • 21. アップロードファイルの制限設定 •AssetFileExtensions –アップロードできるファイルの種類を制限 •DeniedAssetFileExtensions –アップロードできないファイルを設定
  • 22. ジェネレーター情報の消去
  • 23. • https://www.ipa.go.jp/security/topics/alert20130913.html
  • 24. ここまでのまとめ •Movable Type は安全性を高めるための設 定・機能が揃っている
  • 25. Movable Type の安全性を さらに高めるために
  • 26. 最新版を使う •最新版を使う
  • 27. 管理画面にBasic認証をかける •管理画面にBasic認証をかける
  • 28. CGIスクリプトの名称を変える •CGIスクリプトの名称を変える –AdminScript •管理プログラムの CGI スクリプト名を設定します –UpgradeScript •アップグレードスクリプトを設定します
  • 29. 使わないCGIスクリプトの権限を変える •使わないCGIスクリプトの権限を変える –MTのコメント機能を利用していない •mt-comments.cgi の実行権限を無くす –トラックバック機能を利用していない •mt-tb.cgi の実行権限を無くす
  • 30. 例 –Data API 機能を利用していない •mt-data-api.cgi の実行権限を無くす –ログフィード機能を利用していない •mt-feed.cgi の実行権限を無くす –公開サイトで MTの検索機能を利用していない •mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
  • 31. ロックアウト設定をする
  • 32. パスワードの強度を上げる •パスワードの強度を上げる
  • 33. パスワードの桁数と組み合わせの種類 文字種の数 4桁 6桁 8桁 10種 (数字のみ) 1万 100万 1億 26種 (英小文字) 約46万 約3億 約2千億 62種 (英数字) 約1500万 約570億 約220兆 94種 (英数記号) 約7800万 約6900億 約6100兆 「Web担当者フォーラム」より http://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
  • 34. 参考 https://howsecureismypassword.net/
  • 35. •Movable Type を 安全に利用するために http://www.movabletype.jp/blog/ secure_movable_type.html
  • 36. まとめ •常に最新版へアップデートすることが改善 防止につながる •Movable Type の設定を調整することで、さ らに安全性は高まる

×