Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Extreme Honyepotter
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yoshinori matsumoto
October 05, 2017
Technology
890
0
Share
Extreme Honyepotter
WordPressよ永遠に
yoshinori matsumoto
October 05, 2017
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
ym405nm
0
330
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
410
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
730
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
210
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.7k
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
5.3k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
590
Other Decks in Technology
See All in Technology
Anthropic AIネイティブ・スタートアップ構築のプレイブック を理解する
nagatsu
0
230
オンコールの負荷軽減のためのBits Assistant 活用方法 / How to Use Bits Assistant to Reduce the Workload on On-Call Staff
sms_tech
1
350
美味しいスイスチーズを作ろう🧀🐭
taigamikami
1
190
組織の中で自分を経営する技術
shoota
0
230
TROCCOで始めるクラウドコストを民主化するためのFinOps
tk3fftk
1
480
GitHub Copilot CLIでWebアクセシビリティを改善した話
tomokusaba
0
140
AI時代から振り返るTerraform drift運用の歴史 / AI Age Reflections on the History of Terraform Drift Operations
aeonpeople
0
610
プラットフォームエンジニア ワークショップ/ platform-workshop
databricksjapan
0
140
Amazon Bedrock 経由の Claude Cowork を試してみよう・MCP にも繋いでみよう
sugimomoto
0
280
Strands Agents超入門
kintotechdev
1
150
「コーディング」しない人のための Claude Code 入門 ChatGPT の次の一歩 — 業務に組み込む 育成・共有・自動化
rfdnxbro
1
440
Claude Codeを組織で使いこなす— サーバサイドAIエージェント運用の実践知
techtekt
PRO
0
130
Featured
See All Featured
Practical Orchestrator
shlominoach
191
11k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.7k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
150
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.2k
Designing for Timeless Needs
cassininazir
1
240
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
290
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
2k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
320
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Game over? The fight for quality and originality in the time of robots
wayneb77
1
180
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
Transcript
None
彡(゚)(゚) 今日の内容 • WordPressのセキュリティについて • WordPressの攻撃を集めてみた • WordPressの攻撃をExtremeに集める • 今後の展望
WordPressの セキュリティについて
彡(゚)(゚) WordPressとは • オープンソースのCMS • ユーザシェアが圧倒的に多い • ユーザが多い反面、セキュリティ面で狙われるこ とがあり、被害を受けているサイトが多い 全体シェア
マーケットシェア
彡(゚)(゚) WordPressの被害事例 • よく見られる改ざんパターン HACKED BY A HACKER <body><script…. ①
攻撃者の名前や主張が 表示される場合 ② JavaScript が埋め込まれる
彡(゚)(゚) WordPressの被害事例 踏み台サイト (WordPress) 攻撃者 標的となる組織 ①マルウエア設置 ②標的型メール送信 ③誘導
彡(゚)(゚) 開発者・運用者の悩み • セキュリティ設定とか見たけど結構大変だし、 うちの運用では使えないのもチラホラ… • プラグイン入れたけど、これで大丈夫か心配 • どのような攻撃があるのか知りたい 彡(^)(^)「せや!攻撃あつめたろ!」
WordPressの 攻撃を集めてみた
彡(゚)(゚) 作成したサイト • WordPressに対する攻撃を収集するツール • 攻撃を受けるWordPressを設置 • 実際はプロキシが全て取得してログを収集
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP サーバ / ネットワークに対する攻撃 広範囲で行われる IPアドレスを使用している
Webサーバに対する攻撃 使用するツール等を知っている (脆弱性を特定するため?)
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP 静的ページ WordPress にする必要がある! dst_port :
80
彡(゚)(゚) 考慮すべきこと • 攻撃を受け付けるサーバはWordPressである必要 がある • 何らかの方法で攻撃者に見つけてもらうサイトが 必要 “生きたサイト” を演じる
彡(゚)(゚) 生きたサイト • 自動的にサイトを更新 • 常に新しい情報を提供 13 Contents Websites RSS
Reader Scraping Tweet Post on WordPress
彡(゚)(゚) システム概要
彡(゚)(゚) 作成したサイト(つづき) • 会場のみ
集計データ 会場のみ
彡(゚)(゚) ファイルアップロード 画像 攻撃用 WordPress テーマ 攻撃者によるアップロード方法 外部からアクセス可能
彡(゚)(゚) ここまでの成果 • WordPressに対する攻撃を収集することができた • ログイン画面に対する総当たり攻撃 • テーマ、テーマプラグインに対する攻撃 (OSSのハニポログと比べて、攻撃者はWPと分かって 攻撃してるっぽい?)
Extreme に集める
彡(゚)(゚) すいません • ここから先は諸事情により公開できませんので、 かわりに私のクライマックスシリーズの予想を書 きたいと思います
彡(゚)(゚) CS2017予想 セ パ 1stステージ 阪神 西武 2ndステージ 広島 ソフトバンク
日本シリーズ 広島 – ソフトバンク (2勝 – 4勝) どのチームもがんばるたま~
彡(゚)(゚) 今後の課題 今後の課題 • データ収集して、分析 • セキュリティ研究者、WordPress運用者との連携
ym405nm
nagatsu
sms_tech
taigamikami
shoota
tk3fftk
tomokusaba
aeonpeople
databricksjapan
sugimomoto
kintotechdev
rfdnxbro
techtekt
shlominoach
lindahogenes
techseoconnect
inesmontani
cassininazir
reverentgeek
addyosmani
szymonslowik
chriscoyier
wayneb77
ryanjones
