SlideShare a Scribd company logo

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

玲 佐藤
玲 佐藤

CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。

Software
1 of 16
脆弱性統計 (CMS編) 導入版 CMS Vulnerability Statistics R SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
お仕事柄、 日々脆弱性情報を 見ているわけですが 2
CMSの脆弱性 多くない? 3
という事で CMS脆弱性の統計を 取りはじめました 4
統計対象は CMS四天王 (とりあえず) 5
徳丸浩さんチョイス: WordPress Joomla Drupal MovableType http://blog.tokumaru.org/2015/06/cms.html 6
CMSのCVEを探す NVDなどから統計を取る ために大量の検索をする ⇒おこられる! 7
CMSのCVEを探す cve-search https://github.com/wimremes/cve-search NVDなどからCVE情報を ダウンロード、ローカルで 検索できるDBを構築できる 8
CVEからCMSを探す cve-searchに必要なもの Python3.2以降 MongoDB 2.2以降 他はREADME.md見てね 9
CMS四天王を抽出する CVEをCMS名で全文検索 するとノイズが混ざる! “WordPress”本体のみの CVEを抜き出したい! 10
CPE(Common Platform Enumeration) 「情報システムを構成する、 ハードウェア、ソフトウェ アなどを識別するための共 通の名称基準」 http://www.ipa.go.jp/security/vuln/CPE.html 11
CMSのCPE cve-searchにCMS製品のCPEを指定して検索  cpe:2.3:a:wordpress:wordpress  cpe:2.3:a:joomla:joomla%21  cpe:2.3:a:sixapart:movabletype  cpe:2.3:a:sixapart:movable_type  cpe:2.3:a:six_apart:movable_type  cpe:2.3:a:movabletype:movable_type_open_source  cpe:2.3:a:movabletype:six_apart_movable_type  cpe:2.3:a:drupal:drupal 12 ./search.py -p "cpe:2.3:a:wordpress:wordpress:"
CVE件数 WordPress 428 Joomla 398 Drupal 608 MovableType 48 合計 1482 13
CMS四天王の脆弱性シェア NVDに登録されているCVE は71517件(2015/7/27現在) ⇒CMS四天王だけで2.1% やっぱり多い気がする… 14
簡易版ここまで 脆弱性のタイプ(CWE)で分 類したり、期間で分けたり、 プラグインや他のCMSへ対 象を広げたり… いろいろ夢は広がります 15
つづく 16

Recommended

Network Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons LearnedNetwork Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons Learned
amiable_indian
 
Vuls×deep security
Vuls×deep securityVuls×deep security
Vuls×deep security
一輝 長澤
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
 
Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014
MedicReS
 
Vulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements inVulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
 
Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
 

Recommended

Network Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons LearnedNetwork Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons Learned
amiable_indian
 
Vuls×deep security
Vuls×deep securityVuls×deep security
Vuls×deep security
一輝 長澤
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
 
Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014
MedicReS
 
Vulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements inVulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
 
Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
 
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Akitsugu Ito
 
Data management & statistics in clinical trials
Data management & statistics in clinical trialsData management & statistics in clinical trials
Data management & statistics in clinical trials
International Islamic University Malaysia
 
Clinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-StatisticiansClinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-Statisticians
Brook White, PMP
 
Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
 
Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
kyon mm
 
20161102 cms security
20161102 cms security20161102 cms security
20161102 cms security
Six Apart
 
Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-
Norio Sashizaki
 
Ossで作るwebサイト
Ossで作るwebサイトOssで作るwebサイト
Ossで作るwebサイト
Soudai Sone
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
 
Silverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナーSilverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナー
インフラジスティックス・ジャパン株式会社
 
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
Kondo Hitoshi
 
20160125 power cms_cloud_public
20160125 power cms_cloud_public20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
 
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
 
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive FeedbackRoad to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Cybozucommunity
 
Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」
Kohei Nishikawa
 

More Related Content

Viewers also liked

Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
 

Viewers also liked (6)

Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
 
Data management & statistics in clinical trials
Data management & statistics in clinical trialsData management & statistics in clinical trials
Data management & statistics in clinical trials
 
Clinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-StatisticiansClinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-Statisticians
 
Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
 

Similar to 脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
kyon mm
 
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
 
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive FeedbackRoad to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
 

Similar to 脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction (20)

Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
 
20161102 cms security
20161102 cms security20161102 cms security
20161102 cms security
 
Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-
 
Ossで作るwebサイト
Ossで作るwebサイトOssで作るwebサイト
Ossで作るwebサイト
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_public
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_public
 
Silverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナーSilverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナー
 
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
 
20160125 power cms_cloud_public
20160125 power cms_cloud_public20160125 power cms_cloud_public
20160125 power cms_cloud_public
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
 
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
 
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive FeedbackRoad to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
 
Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」
 
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
 
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
 
VIOPS02: 仮想データセンター構築を目指して!
VIOPS02: 仮想データセンター構築を目指して!VIOPS02: 仮想データセンター構築を目指して!
VIOPS02: 仮想データセンター構築を目指して!
 
Cloud Foundry varz
Cloud Foundry varzCloud Foundry varz
Cloud Foundry varz
 

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction