SlideShare a Scribd company logo
1 of 36
Download to read offline
WPScanハンズオン
1
2018.04.07 (Sat)
OWASP Nagoya
自己紹介
丹羽 雪晴(にわ ゆきはる)
• OWASP Nagoya Chapter Board Member
• 株式会社 LAC
◆主な業務経歴
- セキュリティコンサルティング全般
- PF脆弱性診断
- WAF導入~運用構築 など
よろしくおねがいします。
2
● この資料は、「OWASP Nagoya Chapter ミーティング 第4
回〜セキュアなWordPressを構築しよう!〜」のハンズオ
ンで使用する実行マニュアルです。
● ハンズオン開始までに「WordPress環境構築マニュアル」
に基づいて、仮想環境の構築を行ってください。
● ハンズオン最中に不明なことがあれば、気軽に手を挙げて
ください。
はじめに
3
● WPScanを用いた脆弱性診断を通して以下のことを学ぶ
- WPScanってどんなことができるのか
- 脆弱性診断の結果から、対処すべきことは何か
- 脆弱性を包含しないためには、どうすればよいか
ハンズオンの目的
4
● 脆弱性診断は、インターネットに接続していないローカル
環境で行ってください。
特に、自身の管理サイト以外に対して、興味本位での脆弱
性検査は、絶対にしないでください。
注意事項
5
● VirtualBoxの動作要件については次のURLを
参照ください。
○ https://www.virtualbox.org/wiki/End-user_documentation
● ハンズオンで使用するハンズオンサーバの必要リソースは
次の通りです。
○ メモリ :512MB以上(1024MB以上推奨)
○ ディスク :40GB以上
動作環境
6
● WPScanとは
● WPScanの実行① 侵入を試行しない単純な脆弱性診断の実行
● (参考)CVE, CVSS, CWE について
● WPScanの実行② プラグインに対する脆弱性診断の実行
● WPScanの実行③ ブルートフォース攻撃の実行
● まとめ
目次
7
WPScanとは
8
WPScanとは
・ WPScanはRubyで動作するWordPressの脆弱性診断ツールです。
・ 自身のシステムに対する脆弱性診断など、非商用の使用では無料で使用できます。
・ Linux OSやmacOSで動作しており、Windowsはサポートされていません。
<前提条件>
- Ruby> = 2.1.9 - 推奨:2.5.0
- Curl> = 7.21 - 推奨:最新
- RubyGems - 推奨:最新
- Git
・ 公式サイト:https://wpscan.org/
9
WPScanとは
・ WPScanはコマンドラインから起動します。
コマンドライン オプション(WPScanでできること抜粋)
--url | -u <target url> 脆弱性診断対象のWebサイトのURLを指定します。
--force | -f WordPressの稼働チェックせずにWPScanを実行します。
--enumerate | -e [option(s)] オプション
u id 1 から 10 までの username を列挙します
u[10-20] id 10 から 20 までの username を列挙します( [] が必要です
)
p プラグインを列挙します
vp 脆弱性のあるプラグインだけを列挙します
t テーマを列挙します
vt 脆弱性のあるテーマだけを列挙します
--username | -U <username> 指定されたusernameでブルートフォース攻撃をします。
--log [filename] 標準出力を指定したfilenameに出力します。
--update WPScanのデータベースを更新します。
10
WPScanとは
WPScanの実行は、WPScanをインストールしたディレクトリで動作します。
本ハンズオンサーバでは”/home/owaspnagoya/wpscan”となりますので、
当該ディレクトリに移動後、WPScanによる脆弱性診断を実行します。
$ cd /home/owaspnagoya/wpscan
$ ls
CHANGELOG.md Gemfile.lock cache example.conf.json wpscan.rb
DISCLAIMER.txt LICENSE data lib
Dockerfile README.md data.zip spec
Gemfile bin dev stop_user_enumeration_bypass.rb
(補足)ハンズオンサーバのWordPressは、”/var/www/html/wordpress471/”で動作しています。
Webブラウザでの接続は、”http://192.168.100.100/wordpress471"です。
WPScanの実行ファイル
Hands-on
11
WPScanの実行①
侵入を試行しない単純な脆弱性診断の実行
12
WPScanの実行①
◆侵入を試行しない単純な脆弱性診断の実行(1/3)
$ ./wpscan.rb -u "192.168.100.100/wordpress471"
_______________________________________________________________
__ _______ _____
¥ ¥ / / __ ¥ / ____|
¥ ¥ /¥ / /| |__) | (___ ___ __ _ _ __ R
¥ ¥/ ¥/ / | ___/ ¥___ ¥ / __|/ _` | '_ ¥
¥ /¥ / | | ____) | (__| (_| | | | |
¥/ ¥/ |_| |_____/ ¥___|¥__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version 2.9.4-dev
Sponsored by Sucuri - https://sucuri.net
@_WPScan_, @ethicalhack3r, @erwan_lr, @_FireFart_
_______________________________________________________________
[i] It seems like you have not updated the database for some time.
[?] Do you want to update now? [Y]es [N]o [A]bort, default: [N] N
[+] URL: http://192.168.100.100/wordpress471/
[+] Started: Wed Mar 7 01:32:23 2018
ホストオンリー環境のため、”N”を入力
WPScan実行開始(以降は、WPScanの実行結果です。)
Hands-on
13
WPScanの実行①
[+] Interesting header: LINK: <http://192.168.100.100/wordpress471/index.php/wp-json/>;
rel="https://api.w.org/"
[+] Interesting header: SERVER: Apache/2.4.6 (CentOS) PHP/5.4.16
[+] Interesting header: X-POWERED-BY: PHP/5.4.16
[+] XML-RPC Interface available under: http://192.168.100.100/wordpress471/xmlrpc.php
[!] Includes directory has directory listing enabled: http://192.168.100.100/wordpress471/wp-includes/
[+] WordPress version 4.7.1 (Released on 2017-01-11) identified from meta generator, links opml
[!] 31 vulnerabilities identified from the version number
[!] Title: WordPress 4.2.0-4.7.1 - Press This UI Available to Unauthorised Users
Reference: https://wpvulndb.com/vulnerabilities/8729
Reference: https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
Reference:
https://github.com/WordPress/WordPress/commit/21264a31e0849e6ff793a06a17de877dd88ea454
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5610
[i] Fixed in: 4.7.2
~~中略~~
[+] Finished: Wed Mar 7 01:32:34 2018
[+] Requests Done: 351
[+] Memory used: 28.02 MB
[+] Elapsed time: 00:00:11
WPScanの実行が終了
◆侵入を試行しない単純な脆弱性診断の実行(2/3) Hands-on
14
WPScanの実行①
[+] WordPress version 4.7.1 (Released on 2017-01-11) identified from links opml
[!] 31 vulnerabilities identified from the version number
[!] Title: WordPress 4.2.0-4.7.1 - Press This UI Available to Unauthorised Users
Reference: https://wpvulndb.com/vulnerabilities/8729
Reference: https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
Reference: https://github.com/WordPress/WordPress/commit/21264a31e0849e6ff793a06a17de877dd88ea454
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5610
[i] Fixed in: 4.7.2
[!] Title: WordPress 3.5-4.7.1 - WP_Query SQL Injection
Reference: https://wpvulndb.com/vulnerabilities/8730
Reference: https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
Reference: https://github.com/WordPress/WordPress/commit/85384297a60900004e27e417eac56d24267054cb
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5611
[i] Fixed in: 4.7.2
← Tille:脆弱性の概要
← Fixed:脆弱性解消バージョン
← Reference:脆弱性の参照先
← WordPressのバージョ
ンと検出された脆弱性数
検出された脆弱性1つの解説(赤枠内)
◆侵入を試行しない単純な脆弱性診断の実行(3/3) Hands-on
15
WPScanの実行①
[!] Title: WordPress 3.5-4.7.1 - WP_Query SQL Injection
Reference: https://wpvulndb.com/vulnerabilities/8730
Reference: https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
Reference:
https://github.com/WordPress/WordPress/commit/85384297a60900004e27e417eac56d24267054cb
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5611
[i] Fixed in: 4.7.2
◆検出された脆弱性の見方(検出脆弱性1:SQL Injection)
Referenceに記載されている
サイト(WPScanの脆弱性DB)
参照結果
16
WPScanの実行①
[!] Title: WordPress 3.5-4.7.1 - WP_Query SQL Injection
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5611
ReferenceにあるCVE-IDから検索
◆検出された脆弱性の見方(検出脆弱性1:SQL Injection)
17
(参考)CVE, CVSS, CWE について
用語 意味 例
CVE
(Common Vulnerabilities
and Exposures)
【共通脆弱性識別子】
・ソフトウェアの脆弱性を対象として、米国非営利団体のMITRE社が採番
している脆弱性識別子のことです。
・CVE識別番号(CVE-ID)は、CVE-西暦-連番にて構成されています。
CVE-2017-5611
CVSS
(Common Vulnerability
Scoring System)
【共通脆弱性評価システム】
・脆弱性の深刻度を評価するために、米国非営利団体のFIRSTが適用推進
や仕様改善を行う評価手法のことです。
・当該手法により算出された深刻度により、脆弱性の深刻度を同一の基準
の下で定量的に比較することが可能です。
・脆弱性の深刻度は、0(低)~10.0(高)となっています。
CVSS v3 Base:
9.8(緊急)
CWE
(Common Weakness
Enumeration)
【共通脆弱性タイプ一覧】
・脆弱性の種類を識別するために、米国非営利団体のMITREが中心となり
仕様策定した共通の脆弱性タイプの一覧です。
・CWE識別子(CWE-ID)を付与して、脆弱性の原因や対策等の情報に紐
づいた階層構造となっています。
CWE-79:XSS
CWE-89:
SQLインジェクション
(参照元)
・ IPA 共通脆弱性識別子CVE概説 :https://www.ipa.go.jp/security/vuln/CVE.html
・ IPA 共通脆弱性評価システムCVSS概説:https://www.ipa.go.jp/security/vuln/CVSS.html
・ IPA 共通脆弱性タイプ一覧CWE概説 :https://www.ipa.go.jp/security/vuln/CWE.html
脆弱性にはそれぞれCVE, CWE, CVSSが付与されます。それらの概要を以下に記載します。
18
(参照元)https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5610
(参考)CVE, CVSS, CWE について
19
(参照元)https://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-001405.html
(参考)CVE, CVSS, CWE について
CWE
CVE-ID
CVSS v3 Base
20
WPScanの実行① つづき
[!] Title: WordPress 4.7.0-4.7.1 - Unauthenticated Page/Post Content Modification via REST API
Reference: https://wpvulndb.com/vulnerabilities/8734
Reference: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
Reference: https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab
Reference: https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7
[i] Fixed in: 4.7.2
◆検出された脆弱性の見方(検出脆弱性2:コンテンツ改ざん)
Referenceに記載されている
サイト(WPScanの脆弱性DB)
参照結果
21
WPScanの実行①
◆検出された脆弱性の見方(検出脆弱性2:コンテンツ改ざん)
「Wordpress」,「 REST API」, 「4.7.1」,「脆弱性」をキーワードにWebで検索してみた結果
(参照元)https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html 22
WPScanの実行①
◆検出された脆弱性の見方(検出脆弱性2:コンテンツ改ざん)
「Wordpress」,「 REST API」, 「4.7.1」,「脆弱性」をキーワードにWebで検索してみた結果
(参照元)http://d.hatena.ne.jp/Kango/20170205/1486314605 23
WPScanの実行②
プラグインに対する脆弱性診断の実行
24
WPScanの実行②
◆プラグインに対する脆弱性診断の実行(1/2)
[owaspnagoya@www wpscan]$ ./wpscan.rb -u "192.168.100.100/wordpress471" -e vp
_______________________________________________________________
__ _______ _____
¥ ¥ / / __ ¥ / ____|
¥ ¥ /¥ / /| |__) | (___ ___ __ _ _ __ R
¥ ¥/ ¥/ / | ___/ ¥___ ¥ / __|/ _` | '_ ¥
¥ /¥ / | | ____) | (__| (_| | | | |
¥/ ¥/ |_| |_____/ ¥___|¥__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version 2.9.4-dev
Sponsored by Sucuri - https://sucuri.net
@_WPScan_, @ethicalhack3r, @erwan_lr, @_FireFart_
_______________________________________________________________
[i] It seems like you have not updated the database for some time.
[?] Do you want to update now? [Y]es [N]o [A]bort, default: [N] N
[+] URL: http://192.168.100.100/wordpress471/
[+] Started: Wed Mar 7 02:10:28 2018 WPScan実行開始(以降は、WPScanの実行結果です。)
Hands-on
25
WPScanの実行②
◆プラグインに対する脆弱性診断の実行(2/2)
[+] Enumerating installed plugins (only ones with known vulnerabilities) ...
Time: 00:00:02 <===========================================> (1623 / 1623) 100.00% Time: 00:00:02
[+] We found 1 plugins:
[+] Name: backwpup - v3.4.1
| Last updated: 2018-01-08T12:29:00.000Z
| Location: http://localhost/wordpress/wp-content/plugins/backwpup/
| Readme: http://localhost/wordpress/wp-content/plugins/backwpup/readme.txt
[!] The version is out of date, the latest version is 3.4.4
[!] Directory listing is enabled: http://localhost/wordpress/wp-content/plugins/backwpup/
[!] Title: BackWPup <= 3.4.1 - Backup File Download
Reference: https://wpvulndb.com/vulnerabilities/8919
Reference: http://www.vapidlabs.com/advisory.php?v=201
Reference: https://plugins.trac.wordpress.org/changeset/1737123/backwpup
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2551
[i] Fixed in: 3.4.2
[+] Finished: Wed Mar 7 02:10:38 2018
← Tille:脆弱性の概要
← 検出した脆弱性のある
プラグインの概要
← Fixed:脆弱性解消バージョン
← Reference:脆弱性の参照先
Hands-on
26
WPScanの実行②
◆検出された脆弱性の見方(検出脆弱性:プラグイン「backwpup」)
(参照元)https://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-008570.html 27
WPScanの実行③
ブルートフォース攻撃の実行
28
WPScanの実行③
◆登録ユーザに対するブルートフォース攻撃の実行の前に
● ブルートフォース攻撃とは
暗号やパスワードの解読方法のひとつで、予め用意したよく使われる文言リスト
等の考えられる組み合わせを全て試行して、解析を試みる手法
(総当たり攻撃)
本来権限の持たない者が、情報システムへの内部侵入を行う行為(不正アクセス)
となりますので、自身の管理サイト以外に対して、興味本位での脆弱性検査は、
絶対にしないでください。
29
WPScanの実行③
◆登録ユーザに対するブルートフォース攻撃の実行(1/2)
[owaspnagoya@www wpscan]$ ./wpscan.rb -u "192.168.100.100/wordpress471" -w pass.txt -U admin
_______________________________________________________________
__ _______ _____
¥ ¥ / / __ ¥ / ____|
¥ ¥ /¥ / /| |__) | (___ ___ __ _ _ __ R
¥ ¥/ ¥/ / | ___/ ¥___ ¥ / __|/ _` | '_ ¥
¥ /¥ / | | ____) | (__| (_| | | | |
¥/ ¥/ |_| |_____/ ¥___|¥__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version 2.9.4-dev
Sponsored by Sucuri - https://sucuri.net
@_WPScan_, @ethicalhack3r, @erwan_lr, @_FireFart_
_______________________________________________________________
[i] It seems like you have not updated the database for some time.
[?] Do you want to update now? [Y]es [N]o [A]bort, default: [N] N
[+] URL: http://192.168.100.100/wordpress471/
[+] Started: Fri Mar 9 01:25:54 2018 WPScan実行開始(以降は、WPScanの実行結果です。)
Hands-on
30
WPScanの実行③
◆Wordpressの登録ユーザに対するブルートフォース攻撃の実行(2/2)
[+] Starting the password brute forcer
[+] [SUCCESS] Login : admin Password : password
Brute Forcing 'admin' Time: 00:00:03 <==== > (1 / 7) 14.28% ETA: 00:00:23
+----+-------+------+----------+
| Id | Login | Name | Password |
+----+-------+------+----------+
| | admin | | password |
+----+-------+------+----------+
[+] Finished: Fri Mar 9 01:26:05 2018
Login:admin、Password:password
であることが判明
Hands-on
31
WPScanの実行③
◆WPScanで取得したユーザ名/パスワードでWordPressにログイン Hands-on
32
まとめ
33
まとめ
● コアやプラグイン、テーマの脆弱性を検出できる。
→ 定期的に自身の管理サイトの脆弱性有無確認に活用
※参考ガイド:OWASP Wordpress Security Implementation Guideline - 4.1, 4.2, 4.3, 4.6
● WordPressの登録ユーザ名の取得、任意の登録ユーザに対
してのブルートフォース攻撃を実行できる。
→ 推測が容易なユーザ名/パスワード、不要ユーザは危険
※参考ガイド:OWASP Wordpress Security Implementation Guideline - 4.6, 4.7, 4.8, 4.9, 4.10
● 自身の管理サイト以外に対して、興味本位での脆弱性検査
は、絶対にしないでください。
(参考)OWASP Wordpress Security Implementation Guideline
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline 34
Thank you. Any Questions ?
35
謝辞
36
本資料の作成に当たり多大なる支援をしてくださった方々に
感謝の意を表します。
(順不同)
・井上 茂
・村井 剛
・西村 将利
・谷口 貴之
・丹羽 雪晴
・All OWASP Nagoya Staff
・坂梨 功典
・加藤 人生
・清水 健吾
・浅田 竜起

More Related Content

What's hot

What's hot (20)

Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
 
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
Laravel で API バージョニングを実装するなら
Laravel で API バージョニングを実装するならLaravel で API バージョニングを実装するなら
Laravel で API バージョニングを実装するなら
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
 
ヤフー発のメッセージキュー「Pulsar」のご紹介
ヤフー発のメッセージキュー「Pulsar」のご紹介ヤフー発のメッセージキュー「Pulsar」のご紹介
ヤフー発のメッセージキュー「Pulsar」のご紹介
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
 
PostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめPostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめ
 
CDNの仕組み(JANOG36)
CDNの仕組み(JANOG36)CDNの仕組み(JANOG36)
CDNの仕組み(JANOG36)
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオンAmazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design PatternAWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
 

Similar to WPSCanによるWordPressの脆弱性スキャン

Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスドMicrosoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
Kazumi Hirose
 
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
Naoto Gohko
 

Similar to WPSCanによるWordPressの脆弱性スキャン (20)

OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
 
microPCFを使ってみよう
microPCFを使ってみようmicroPCFを使ってみよう
microPCFを使ってみよう
 
DebianとWordPressでハッピーになろう!
DebianとWordPressでハッピーになろう!DebianとWordPressでハッピーになろう!
DebianとWordPressでハッピーになろう!
 
簡単!自動バックアップ設定でWordPressを安心運用
簡単!自動バックアップ設定でWordPressを安心運用簡単!自動バックアップ設定でWordPressを安心運用
簡単!自動バックアップ設定でWordPressを安心運用
 
ネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chefネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chef
 
第20回CloudStackユーザ会_ApacheCloudStack4.4新機能紹介
第20回CloudStackユーザ会_ApacheCloudStack4.4新機能紹介第20回CloudStackユーザ会_ApacheCloudStack4.4新機能紹介
第20回CloudStackユーザ会_ApacheCloudStack4.4新機能紹介
 
手軽にできる外部公開サーバ観測の効用と活用法 @ Internet Week 2016
手軽にできる外部公開サーバ観測の効用と活用法 @ Internet Week 2016 手軽にできる外部公開サーバ観測の効用と活用法 @ Internet Week 2016
手軽にできる外部公開サーバ観測の効用と活用法 @ Internet Week 2016
 
WordCamp Haneda 2019 WordPress初心者のためのサイト運営虎の巻 #wchaneda
WordCamp Haneda 2019 WordPress初心者のためのサイト運営虎の巻 #wchanedaWordCamp Haneda 2019 WordPress初心者のためのサイト運営虎の巻 #wchaneda
WordCamp Haneda 2019 WordPress初心者のためのサイト運営虎の巻 #wchaneda
 
PWA 総まとめ @ABC 2018 Spring
PWA 総まとめ @ABC 2018 SpringPWA 総まとめ @ABC 2018 Spring
PWA 総まとめ @ABC 2018 Spring
 
はじめてのSpring Boot
はじめてのSpring BootはじめてのSpring Boot
はじめてのSpring Boot
 
Windows Server 2016 Essentials TP4の強化ポイントと PowerShellの使いどころ
Windows Server 2016 Essentials TP4の強化ポイントとPowerShellの使いどころWindows Server 2016 Essentials TP4の強化ポイントとPowerShellの使いどころ
Windows Server 2016 Essentials TP4の強化ポイントと PowerShellの使いどころ
 
PowerShell and Release Management Server
PowerShell and  Release Management ServerPowerShell and  Release Management Server
PowerShell and Release Management Server
 
OpenStack QuickStart - Icehouse
OpenStack QuickStart - IcehouseOpenStack QuickStart - Icehouse
OpenStack QuickStart - Icehouse
 
もう XAMPP / MAMP はいらない!
Vagrant で作る PHP 開発環境
もう XAMPP / MAMP はいらない!
Vagrant で作る PHP 開発環境もう XAMPP / MAMP はいらない!
Vagrant で作る PHP 開発環境
もう XAMPP / MAMP はいらない!
Vagrant で作る PHP 開発環境
 
第1回 一撃サーバー構築シェルスクリプト勉強会
第1回 一撃サーバー構築シェルスクリプト勉強会第1回 一撃サーバー構築シェルスクリプト勉強会
第1回 一撃サーバー構築シェルスクリプト勉強会
 
Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスドMicrosoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
Microsoft azure上にwebサイトやアプリケーションを構築する方法 アドバンスド
 
NTTコミュニケーションズ Cloudn勉強会資料 SDKでAPIをたたいてみよう
NTTコミュニケーションズ Cloudn勉強会資料 SDKでAPIをたたいてみようNTTコミュニケーションズ Cloudn勉強会資料 SDKでAPIをたたいてみよう
NTTコミュニケーションズ Cloudn勉強会資料 SDKでAPIをたたいてみよう
 
(続) はじめてのCloud Foundry
(続) はじめてのCloud Foundry(続) はじめてのCloud Foundry
(続) はじめてのCloud Foundry
 
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
OpenStack + KVM + IPv6 = oname.com; Next Folsom/Grizzly Service development s...
 
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料
 

More from OWASP Nagoya

More from OWASP Nagoya (17)

OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
 
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
 
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scripting
 
#24 prepare for_hands-on
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-on
 
(A2)broken authentication
(A2)broken authentication(A2)broken authentication
(A2)broken authentication
 
Developer tools
Developer toolsDeveloper tools
Developer tools
 
#23 prepare for_hands-on
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-on
 
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
 
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
 
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
 
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
 
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
 
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
 
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
 
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
 

WPSCanによるWordPressの脆弱性スキャン