Enviar búsqueda
Cargar
20140716 Movable Type seminar
•
Descargar como PPTX, PDF
•
0 recomendaciones
•
2,156 vistas
Six Apart
Seguir
Internet
Denunciar
Compartir
Denunciar
Compartir
1 de 58
Descargar ahora
Recomendados
20150209 movable type seminar
20150209 movable type seminar
Six Apart
20161102 cms security
20161102 cms security
Six Apart
ES6時代におけるWeb開発者とセキュリティ業界の乖離
ES6時代におけるWeb開発者とセキュリティ業界の乖離
Yosuke HASEGAWA
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
Six Apart
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
Recomendados
20150209 movable type seminar
20150209 movable type seminar
Six Apart
20161102 cms security
20161102 cms security
Six Apart
ES6時代におけるWeb開発者とセキュリティ業界の乖離
ES6時代におけるWeb開発者とセキュリティ業界の乖離
Yosuke HASEGAWA
20140824 mt tokyo_slideshare
20140824 mt tokyo_slideshare
Six Apart
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
Media Assembly Kit
Media Assembly Kit
Hiromichi Koga
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Jaws ug shimane-1
Jaws ug shimane-1
Mutsumi IWAISHI
0709wordbench新潟
0709wordbench新潟
真琴 平賀
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
Takeaki Inoue
WordPress開発の最新事情
WordPress開発の最新事情
Takayuki Miyauchi
海外で注目されてるJs framework “mithril”の特徴
海外で注目されてるJs framework “mithril”の特徴
Shoyo Kyou
Aiにwebアプリ診断をやらせてみる
Aiにwebアプリ診断をやらせてみる
Isao Takaesu
WAFって言いたいだけちゃうんか
WAFって言いたいだけちゃうんか
Takashi Uemura
AWSで自作CGIをサーバレス実装してみた ~その2~
AWSで自作CGIをサーバレス実装してみた ~その2~
祐樹 夏目
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
20141117 movable type seminar
20141117 movable type seminar
Six Apart
Browser andsecurity2015
Browser andsecurity2015
彰 村地
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
Movable type seminar 20120703
Movable type seminar 20120703
Six Apart
Movable type seminar_20121204
Movable type seminar_20121204
Six Apart
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM,INC
Data API ことはじめ
Data API ことはじめ
Yuji Takayama
20130118 movable type_seminar
20130118 movable type_seminar
Six Apart
Movable typeseminar 20120925
Movable typeseminar 20120925
Six Apart
Más contenido relacionado
La actualidad más candente
Media Assembly Kit
Media Assembly Kit
Hiromichi Koga
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Jaws ug shimane-1
Jaws ug shimane-1
Mutsumi IWAISHI
0709wordbench新潟
0709wordbench新潟
真琴 平賀
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
Takeaki Inoue
WordPress開発の最新事情
WordPress開発の最新事情
Takayuki Miyauchi
海外で注目されてるJs framework “mithril”の特徴
海外で注目されてるJs framework “mithril”の特徴
Shoyo Kyou
Aiにwebアプリ診断をやらせてみる
Aiにwebアプリ診断をやらせてみる
Isao Takaesu
WAFって言いたいだけちゃうんか
WAFって言いたいだけちゃうんか
Takashi Uemura
AWSで自作CGIをサーバレス実装してみた ~その2~
AWSで自作CGIをサーバレス実装してみた ~その2~
祐樹 夏目
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
La actualidad más candente
(12)
Media Assembly Kit
Media Assembly Kit
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Jaws ug shimane-1
Jaws ug shimane-1
0709wordbench新潟
0709wordbench新潟
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress開発の最新事情
WordPress開発の最新事情
海外で注目されてるJs framework “mithril”の特徴
海外で注目されてるJs framework “mithril”の特徴
Aiにwebアプリ診断をやらせてみる
Aiにwebアプリ診断をやらせてみる
WAFって言いたいだけちゃうんか
WAFって言いたいだけちゃうんか
AWSで自作CGIをサーバレス実装してみた ~その2~
AWSで自作CGIをサーバレス実装してみた ~その2~
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
Similar a 20140716 Movable Type seminar
20141117 movable type seminar
20141117 movable type seminar
Six Apart
Browser andsecurity2015
Browser andsecurity2015
彰 村地
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
Movable type seminar 20120703
Movable type seminar 20120703
Six Apart
Movable type seminar_20121204
Movable type seminar_20121204
Six Apart
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM,INC
Data API ことはじめ
Data API ことはじめ
Yuji Takayama
20130118 movable type_seminar
20130118 movable type_seminar
Six Apart
Movable typeseminar 20120925
Movable typeseminar 20120925
Six Apart
AWSの様々なアーキテクチャ
AWSの様々なアーキテクチャ
Kameda Harunobu
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311
guestec25d2
Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311
Kuniyasu Suzaki
【Connected.T1】SORACOM Air 再発見 - プログラマブルな SIM で実現できること
【Connected.T1】SORACOM Air 再発見 - プログラマブルな SIM で実現できること
SORACOM,INC
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
Kuniyasu Suzaki
アプリケーションとネットワークの融合 @ ONIC 2019
アプリケーションとネットワークの融合 @ ONIC 2019
Yoshihiko Nakaoku
Web Standards 2018
Web Standards 2018
Shogo Sensui
AWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべこと
Keisuke Nishitani
B2 改めて双方向通信について考えよう! 〜リモートアクセスのパターンとその実践〜 | SORACOM Technology Camp 2020
B2 改めて双方向通信について考えよう! 〜リモートアクセスのパターンとその実践〜 | SORACOM Technology Camp 2020
SORACOM,INC
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
Similar a 20140716 Movable Type seminar
(20)
20141117 movable type seminar
20141117 movable type seminar
Browser andsecurity2015
Browser andsecurity2015
安全なWebアプリ構築1回
安全なWebアプリ構築1回
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Movable type seminar 20120703
Movable type seminar 20120703
Movable type seminar_20121204
Movable type seminar_20121204
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
Data API ことはじめ
Data API ことはじめ
20130118 movable type_seminar
20130118 movable type_seminar
Movable typeseminar 20120925
Movable typeseminar 20120925
AWSの様々なアーキテクチャ
AWSの様々なアーキテクチャ
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311
Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311
【Connected.T1】SORACOM Air 再発見 - プログラマブルな SIM で実現できること
【Connected.T1】SORACOM Air 再発見 - プログラマブルな SIM で実現できること
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
アプリケーションとネットワークの融合 @ ONIC 2019
アプリケーションとネットワークの融合 @ ONIC 2019
Web Standards 2018
Web Standards 2018
AWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべこと
B2 改めて双方向通信について考えよう! 〜リモートアクセスのパターンとその実践〜 | SORACOM Technology Camp 2020
B2 改めて双方向通信について考えよう! 〜リモートアクセスのパターンとその実践〜 | SORACOM Technology Camp 2020
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Más de Six Apart
20180723 okubo mtc_loud_handson
20180723 okubo mtc_loud_handson
Six Apart
20180709 pronet study
20180709 pronet study
Six Apart
20180709 aws handson_public
20180709 aws handson_public
Six Apart
20180702 okubo mtc_loud_handson
20180702 okubo mtc_loud_handson
Six Apart
20180625 dev relenglish_public
20180625 dev relenglish_public
Six Apart
20180628 sappor alibaba_event
20180628 sappor alibaba_event
Six Apart
20180411 monaca ug_lt
20180411 monaca ug_lt
Six Apart
20180326 mt azure_handson_translation
20180326 mt azure_handson_translation
Six Apart
20180228 jazug
20180228 jazug
Six Apart
20180228 aws handson_public
20180228 aws handson_public
Six Apart
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
Six Apart
20171023 mt azure_handson
20171023 mt azure_handson
Six Apart
20170922 cms security_public
20170922 cms security_public
Six Apart
20170926 aws handson_public
20170926 aws handson_public
Six Apart
20170921 smartphone apli_seminar_public
20170921 smartphone apli_seminar_public
Six Apart
20170905 dev rellt_public
20170905 dev rellt_public
Six Apart
20170801 monaca ug_lt_public
20170801 monaca ug_lt_public
Six Apart
20170713 smartphone apli_seminar_public
20170713 smartphone apli_seminar_public
Six Apart
20170624 cms idobata_kaigi
20170624 cms idobata_kaigi
Six Apart
20170609 dev rel_meetup
20170609 dev rel_meetup
Six Apart
Más de Six Apart
(20)
20180723 okubo mtc_loud_handson
20180723 okubo mtc_loud_handson
20180709 pronet study
20180709 pronet study
20180709 aws handson_public
20180709 aws handson_public
20180702 okubo mtc_loud_handson
20180702 okubo mtc_loud_handson
20180625 dev relenglish_public
20180625 dev relenglish_public
20180628 sappor alibaba_event
20180628 sappor alibaba_event
20180411 monaca ug_lt
20180411 monaca ug_lt
20180326 mt azure_handson_translation
20180326 mt azure_handson_translation
20180228 jazug
20180228 jazug
20180228 aws handson_public
20180228 aws handson_public
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
20171023 mt azure_handson
20171023 mt azure_handson
20170922 cms security_public
20170922 cms security_public
20170926 aws handson_public
20170926 aws handson_public
20170921 smartphone apli_seminar_public
20170921 smartphone apli_seminar_public
20170905 dev rellt_public
20170905 dev rellt_public
20170801 monaca ug_lt_public
20170801 monaca ug_lt_public
20170713 smartphone apli_seminar_public
20170713 smartphone apli_seminar_public
20170624 cms idobata_kaigi
20170624 cms idobata_kaigi
20170609 dev rel_meetup
20170609 dev rel_meetup
20140716 Movable Type seminar
1.
2014年7月16日 シックス・アパート株式会社 長内 毅志 Movable Typeの安全性について
2.
アジェンダ •Web改ざんの実際 •攻撃の実際 •Movable Type の特徴と安全性 •安全性を高めるために •Movable
Type のご紹介
3.
Web改ざんの実際
4.
データ出典:JPCERT/CC インシデント報告対応レポート グラフ:http://www.nca.gr.jp/2013/web201303/
5.
ガンブラー http://www.ipa.go.jp/security/txt/2013/07outline.html
6.
最近の改ざん手法 http://www.ipa.go.jp/security/txt/2013/07outline.html
7.
http://cybermap.kaspersky.com/
8.
•CMSの管理権限を奪取してウェブサイトを 改ざん •CMSの公開ディレクトリに任意のファイル をアップロードしてウェブサイトを改ざん
9.
CMSに関するハッキングの傾向 •20%はCMSのコア部分にある脆弱性への 攻撃、80%はプラグインなど周辺プログラム の脆弱性を狙った攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html Via
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
10.
ここまでのまとめ •最近のウェブ改ざんは、ウェブサーバーや CMSの脆弱性を狙って攻撃するケースが 多い
11.
どのような攻撃が存在するか
12.
もっとも多いパターン •使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
13.
ブルートフォースアタック(総当り攻撃) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
14.
ファイルアップロード攻撃(バックドア) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
15.
その他 •SQLインジェクション •CSRF •XSS –主にソフトウェアの脆弱性を付くもの
16.
ここまでのまとめ •CMSが特定できると、攻撃しやすい •総当たり攻撃やファイルアップロード攻撃 など、攻撃者はCMSとプラグインの脆弱性 を狙って攻撃をおこなう
17.
Movable Type の特徴と安全性
18.
CMSサーバーと公開サーバーの分離
19.
ロックアウト
20.
アップロードファイルの制限設定 •AssetFileExtensions –アップロードできるファイルの種類を制限 •DeniedAssetFileExtensions –アップロードできないファイルを設定
21.
ジェネレーター情報の消去
22.
• https://www.ipa.go.jp/security/topics/alert20130913.html
23.
•http://jvndb.jvn.jp/
24.
ここまでのまとめ •Movable Type は安全性を高めるための設 定・機能が揃っている
25.
Movable Type の安全性を さらに高めるために
26.
最新版を使う •最新版を使う
27.
管理画面にBasic認証をかける •管理画面にBasic認証をかける
28.
CGIスクリプトの名称を変える •CGIスクリプトの名称を変える –AdminScript •管理プログラムの CGI スクリプト名を設定します –UpgradeScript •アップグレードスクリプトを設定します
29.
使わないCGIスクリプトの権限を変える •使わないCGIスクリプトの権限を変える –MTのコメント機能を利用していない •mt-comments.cgi の実行権限を無くす –トラックバック機能を利用していない •mt-tb.cgi の実行権限を無くす
30.
例 –Data API 機能を利用していない •mt-data-api.cgi
の実行権限を無くす –ログフィード機能を利用していない •mt-feed.cgi の実行権限を無くす –公開サイトで MTの検索機能を利用していない •mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
31.
パスワードの強度を上げる •パスワードの強度を上げる
32.
ロックアウト設定をする
33.
パスワードの桁数と組み合わせの種類 文字種の数 4桁 6桁
8桁 10種 (数字のみ) 1万 100万 1億 26種 (英小文字) 約46万 約3億 約2千億 62種 (英数字) 約1500万 約570億 約220兆 94種 (英数記号) 約7800万 約6900億 約6100兆 「Web担当者フォーラム」より http://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
34.
参考 https://howsecureismypassword.net/
35.
•Movable Type を 安全に利用するために http://www.movabletype.jp/blog/ secure_movable_type.html
36.
ここまでのまとめ •常に最新版へアップデートすることが改善 防止につながる •Movable Type の設定を調整することで、さ らに安全性は高まる
37.
その他
38.
CMSの情報、バージョン情報を消す •ジェネレータータグをすべて削除する •RSS、Atom、RDFファイルなども注意
39.
CMSサーバーの場所を特定しづらくする •検索、コメント、トラックバックなどを使って いない場合、MTのアプリケーション・サー バー情報は隠せる •特定しづらい場所に配置する
40.
公開サーバーとCMSサーバーを分ける •MTクラウドには標準機能でサーバー配信 機能が含まれている
41.
参考情報
42.
IPA 「安全なウェブサイトの作り方」 • https://www.ipa.go.jp/security/vuln/websecurity.html
43.
http://www.ipa.go.jp/security/txt/2013/07outline.html
44.
Movable Type 最新情報
45.
最新バージョン Movable Type 6.0.3
46.
5つの新機能 •Data API •Chart API •非公開日指定 •Google
Analyticsとの連携 •メッセージセンター
47.
Data API •JSON形式でデータを取得 •PHP、JavaScriptなど言語を問わず拡 張
48.
Data APIの活用例 •COACH UNITED
49.
Google Analyticsの連携 • Google
Analyticsと連携してアクセスデータをダッシュ ボード上に表示
50.
レスポンシブウェブデザインテーマ •Rainier –ブログ向けテーマ •Eiger –企業サイト向けテーマ
51.
Apex •追加テーマ「Apex」 http://plugins.movabletype.jp/movable_type/apex.ht ml
52.
RainierとEiger、Apexのライセンス •MITライセンス(オープンソース) –自由にカスタマイズ、再頒布可能 –ビジネス利用も可能、オープンソース頒布も
53.
パフォーマンス改善
54.
Movable Type クラウド版 •クラウド環境でMTを提供 •サーバー保守、メンテナンスはシックス・ア パートが担当 •月額5000円~
55.
サーバー配信機能 •外部サーバーへhtml送信 •ステージング構成が簡単
56.
バックアップ機能 •1日に1度データをバックアップ •いつでも復旧可能
57.
MT on AWS •AWS
marketplace で提供 •T1microは無料(AWS使用料別)
Descargar ahora