玲 佐藤, profile picture
Uploaded by玲 佐藤
3,389 views

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。

Embed presentation

脆弱性統計 (CMS編) 導入版 CMS Vulnerability Statistics R SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
お仕事柄、 日々脆弱性情報を 見ているわけですが 2
CMSの脆弱性 多くない? 3
という事で CMS脆弱性の統計を 取りはじめました 4
統計対象は CMS四天王 (とりあえず) 5
徳丸浩さんチョイス: WordPress Joomla Drupal MovableType http://blog.tokumaru.org/2015/06/cms.html 6
CMSのCVEを探す NVDなどから統計を取る ために大量の検索をする ⇒おこられる! 7
CMSのCVEを探す cve-search https://github.com/wimremes/cve-search NVDなどからCVE情報を ダウンロード、ローカルで 検索できるDBを構築できる 8
CVEからCMSを探す cve-searchに必要なもの Python3.2以降 MongoDB 2.2以降 他はREADME.md見てね 9
CMS四天王を抽出する CVEをCMS名で全文検索 するとノイズが混ざる! “WordPress”本体のみの CVEを抜き出したい! 10
CPE(Common Platform Enumeration) 「情報システムを構成する、 ハードウェア、ソフトウェ アなどを識別するための共 通の名称基準」 http://www.ipa.go.jp/security/vuln/CPE.html 11
CMSのCPE cve-searchにCMS製品のCPEを指定して検索  cpe:2.3:a:wordpress:wordpress  cpe:2.3:a:joomla:joomla%21  cpe:2.3:a:sixapart:movabletype  cpe:2.3:a:sixapart:movable_type  cpe:2.3:a:six_apart:movable_type  cpe:2.3:a:movabletype:movable_type_open_source  cpe:2.3:a:movabletype:six_apart_movable_type  cpe:2.3:a:drupal:drupal 12 ./search.py -p "cpe:2.3:a:wordpress:wordpress:"
CVE件数 WordPress 428 Joomla 398 Drupal 608 MovableType 48 合計 1482 13
CMS四天王の脆弱性シェア NVDに登録されているCVE は71517件(2015/7/27現在) ⇒CMS四天王だけで2.1% やっぱり多い気がする… 14
簡易版ここまで 脆弱性のタイプ(CWE)で分 類したり、期間で分けたり、 プラグインや他のCMSへ対 象を広げたり… いろいろ夢は広がります 15
つづく 16

More Related Content

PPS
Network Vulnerability Assessments: Lessons Learned
byamiable_indian
 
PPTX
Vuls×deep security
by一輝 長澤
 
PDF
【SSS】クラウド型セキュリティ・サービス
bysss-share
 
PDF
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
PDF
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
byGehirn Inc.
 
PPTX
Judith Goldberg MedicReS World Congress 2014
byMedicReS
 
PPTX
Vulnerability Assessment and Rapid Warning System Enhancements in
byKeith G. Tidball
 
PPT
Statistical analysis of clinical data isi 30 01 07
byBhaswat Chakraborty
 
Network Vulnerability Assessments: Lessons Learned
byamiable_indian
 
Vuls×deep security
by一輝 長澤
 
【SSS】クラウド型セキュリティ・サービス
bysss-share
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
byGehirn Inc.
 
Judith Goldberg MedicReS World Congress 2014
byMedicReS
 
Vulnerability Assessment and Rapid Warning System Enhancements in
byKeith G. Tidball
 
Statistical analysis of clinical data isi 30 01 07
byBhaswat Chakraborty
 

Viewers also liked

PPTX
Management for Security Life Cycle (日本語版)
byAkitsugu Ito
 
PPTX
Data management & statistics in clinical trials
byInternational Islamic University Malaysia
 
PPTX
Clinical Research Statistics for Non-Statisticians
byBrook White, PMP
 
PDF
Rにおける大規模データ解析(第10回TokyoWebMining)
byShintaro Fukushima
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
PDF
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
bySlideshare
 
Management for Security Life Cycle (日本語版)
byAkitsugu Ito
 
Data management & statistics in clinical trials
byInternational Islamic University Malaysia
 
Clinical Research Statistics for Non-Statisticians
byBrook White, PMP
 
Rにおける大規模データ解析(第10回TokyoWebMining)
byShintaro Fukushima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
bySlideshare
 

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction