Submit Search
Upload
脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction
•
1 like
•
3,382 views
玲 佐藤
Follow
CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 16
Recommended
Network Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons Learned
amiable_indian
Try to clear up high urgency vulnerability
Vuls×deep security
Vuls×deep security
一輝 長澤
ソフィア総合研究所株式会社 セキュア・ソリューション部 http://www.sps.jp.net クラウド型セキュリティ・サービスの紹介資料です。 1. NSFOCUS Cloud-Pipe-CPE防御エコシステム 2. Sophia Protective Shield(SPS) 3. SPS Cloud ◆ ブログ記事 クラウド型セキュリティ・サービス(2) http://www.sps.jp.net/ssslog/cloud-security-20130728/
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
Vuls祭り #1(http://vuls-jp.connpass.com/event/38391/)の資料です。
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
2015年 3月19日 JPCERT/CC POCミーティング ゲスト講演 「脆弱性分析のオートメーション化 ~脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に~」発表資料
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
Statistics in Clinical and Translational Research in Drug Development - Judith D. Goldberg, Sc.D. Professor Division of Biostatistics New York University School of Medicine
Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014
MedicReS
This presentation represents initial efforts to down scale a global flood vulnerability model developed in a cloud based computing tool Google Earth Engine for the noncoastal “upstate areas” of the State of New York. This customized New York application of the model is the result of collaboration with colleagues at Yale University. The model analyzes social and physical vulnerability to riverine flooding based on multiple data inputs, outputs the high risk areas for flooding, and runs statistics on the population living in the flooded zone. Initial results examine the ability for the model to predict risk for a specific storm area, county, or watershed in 1-30 seconds. Future work requires further testing and validation of the model, a more advanced algorithm, and dynamic user-friendly interface for public risk communication of both underlying vulnerability and an early warning system.
Vulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
Recommended
Network Vulnerability Assessments: Lessons Learned
Network Vulnerability Assessments: Lessons Learned
amiable_indian
Try to clear up high urgency vulnerability
Vuls×deep security
Vuls×deep security
一輝 長澤
ソフィア総合研究所株式会社 セキュア・ソリューション部 http://www.sps.jp.net クラウド型セキュリティ・サービスの紹介資料です。 1. NSFOCUS Cloud-Pipe-CPE防御エコシステム 2. Sophia Protective Shield(SPS) 3. SPS Cloud ◆ ブログ記事 クラウド型セキュリティ・サービス(2) http://www.sps.jp.net/ssslog/cloud-security-20130728/
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
Vuls祭り #1(http://vuls-jp.connpass.com/event/38391/)の資料です。
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
2015年 3月19日 JPCERT/CC POCミーティング ゲスト講演 「脆弱性分析のオートメーション化 ~脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に~」発表資料
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
Statistics in Clinical and Translational Research in Drug Development - Judith D. Goldberg, Sc.D. Professor Division of Biostatistics New York University School of Medicine
Judith Goldberg MedicReS World Congress 2014
Judith Goldberg MedicReS World Congress 2014
MedicReS
This presentation represents initial efforts to down scale a global flood vulnerability model developed in a cloud based computing tool Google Earth Engine for the noncoastal “upstate areas” of the State of New York. This customized New York application of the model is the result of collaboration with colleagues at Yale University. The model analyzes social and physical vulnerability to riverine flooding based on multiple data inputs, outputs the high risk areas for flooding, and runs statistics on the population living in the flooded zone. Initial results examine the ability for the model to predict risk for a specific storm area, county, or watershed in 1-30 seconds. Future work requires further testing and validation of the model, a more advanced algorithm, and dynamic user-friendly interface for public risk communication of both underlying vulnerability and an early warning system.
Vulnerability Assessment and Rapid Warning System Enhancements in
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
Statistical analysis of clinical data isi 30 01 07
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
APPSEC APAC 2014 にて講演した資料の日本語版となります。 当日利用した資料は、こちらから参照いただけます。 https://speakerdeck.com/owaspjapan/management-for-security-life-cycle-number-appsecapac2014
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Akitsugu Ito
Slides prepared for IIUM GCP Workshop
Data management & statistics in clinical trials
Data management & statistics in clinical trials
International Islamic University Malaysia
Through real-world examples, this presentation teaches strategies for choosing appropriate outcome measures, methods for analysis and randomization, and sample sizes as well as tips for collecting the right data to answer your scientific questions.
Clinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-Statisticians
Brook White, PMP
Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
https://internetweek.jp/program/d3/d3-1.html Internet week 2016 D3-1 脆弱性情報と賢く付き合う~発見から対策までの最前線~ 脆弱性スキャナによる対策支援の課題 の発表資料です。 講演者 神戸 康多(フューチャーアーキテクト株式会社 テクノロジーイノベーショングループ シニアスペシャリスト) 脆弱性対策の最前線として、 Vulsを使ったサーバの脆弱性対策、 脆弱性のインベントリ管理の紹介。 そもそもなぜこのようなツールを作ることになったのか、 今後の展開について等、 消費者の悩みとそれを解消するツールの今後についてご紹介いただきます。
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
TFSUGでの発表
Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
kyon mm
2016年11月2日 ビジネスセミナーの資料です
20161102 cms security
20161102 cms security
Six Apart
Windows Admin Centerとは アーキテクチャー デモンストレーション Windows Admin Center のデモ環境 デモで使用しているWindows Server Hyper Converged Infrastructure管理 インストールにあたって システム要件 冗長構成 まとめ ----- What is Windows Admin Center? architecture demonstration Windows Admin Center demo environment Windows Server used in the demo Hyper Converged Infrastructure Management Getting Started System requirements Redundant configuration Summary
Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-
Norio Sashizaki
OSC広島2011でお話した内容です。 マインドマップはこちらを参考にしてください。 http://soudai1025.blogspot.com/
Ossで作るwebサイト
Ossで作るwebサイト
Soudai Sone
Open Source Project of CMDB developed by Tecnoteca
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
2016年2月8日 ビジネスセミナーの資料です。
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
2016年2月9日 ビジネスセミナーの登壇資料です
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
2015 年 08 月 04 日に開催させていただきました "Silverlight to NEXT" オンラインセミナーで弊社製品担当池原 (@Neri78) がお話させていただいた際に利用しました資料です。
Silverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナー
インフラジスティックス・ジャパン株式会社
本来JavaScriptにコンパイルなどのビルドは必須ではありませんが、 いまどきのJavaScriptアプリではビルドが重要です。 代謝の激しいフロントエンドを反映し、JSビルドの世界も盛り上がっています。 このチャートはビルドの現状を追うことでJSの現状をとらえることを目的にしています。
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
Kondo Hitoshi
2016年1月25日 ビジネスセミナーの登壇資料です
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
PHPカンファレンス2016における講演資料
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
kintone hive nagoya ヤマハ発動機 原子氏
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Cybozucommunity
2016年12月7日「CMS & MA Summit 冬の小祭」のセッション資料です。IBM Bluemixを用いてMauticを構築する際の例やポイントをご紹介しています。
Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」
Kohei Nishikawa
More Related Content
Viewers also liked
APPSEC APAC 2014 にて講演した資料の日本語版となります。 当日利用した資料は、こちらから参照いただけます。 https://speakerdeck.com/owaspjapan/management-for-security-life-cycle-number-appsecapac2014
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Akitsugu Ito
Slides prepared for IIUM GCP Workshop
Data management & statistics in clinical trials
Data management & statistics in clinical trials
International Islamic University Malaysia
Through real-world examples, this presentation teaches strategies for choosing appropriate outcome measures, methods for analysis and randomization, and sample sizes as well as tips for collecting the right data to answer your scientific questions.
Clinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-Statisticians
Brook White, PMP
Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
https://internetweek.jp/program/d3/d3-1.html Internet week 2016 D3-1 脆弱性情報と賢く付き合う~発見から対策までの最前線~ 脆弱性スキャナによる対策支援の課題 の発表資料です。 講演者 神戸 康多(フューチャーアーキテクト株式会社 テクノロジーイノベーショングループ シニアスペシャリスト) 脆弱性対策の最前線として、 Vulsを使ったサーバの脆弱性対策、 脆弱性のインベントリ管理の紹介。 そもそもなぜこのようなツールを作ることになったのか、 今後の展開について等、 消費者の悩みとそれを解消するツールの今後についてご紹介いただきます。
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
Viewers also liked
(6)
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Data management & statistics in clinical trials
Data management & statistics in clinical trials
Clinical Research Statistics for Non-Statisticians
Clinical Research Statistics for Non-Statisticians
Rにおける大規模データ解析(第10回TokyoWebMining)
Rにおける大規模データ解析(第10回TokyoWebMining)
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
Similar to 脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction
TFSUGでの発表
Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
kyon mm
2016年11月2日 ビジネスセミナーの資料です
20161102 cms security
20161102 cms security
Six Apart
Windows Admin Centerとは アーキテクチャー デモンストレーション Windows Admin Center のデモ環境 デモで使用しているWindows Server Hyper Converged Infrastructure管理 インストールにあたって システム要件 冗長構成 まとめ ----- What is Windows Admin Center? architecture demonstration Windows Admin Center demo environment Windows Server used in the demo Hyper Converged Infrastructure Management Getting Started System requirements Redundant configuration Summary
Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-
Norio Sashizaki
OSC広島2011でお話した内容です。 マインドマップはこちらを参考にしてください。 http://soudai1025.blogspot.com/
Ossで作るwebサイト
Ossで作るwebサイト
Soudai Sone
Open Source Project of CMDB developed by Tecnoteca
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
2016年2月8日 ビジネスセミナーの資料です。
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
2016年2月9日 ビジネスセミナーの登壇資料です
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
2015 年 08 月 04 日に開催させていただきました "Silverlight to NEXT" オンラインセミナーで弊社製品担当池原 (@Neri78) がお話させていただいた際に利用しました資料です。
Silverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナー
インフラジスティックス・ジャパン株式会社
本来JavaScriptにコンパイルなどのビルドは必須ではありませんが、 いまどきのJavaScriptアプリではビルドが重要です。 代謝の激しいフロントエンドを反映し、JSビルドの世界も盛り上がっています。 このチャートはビルドの現状を追うことでJSの現状をとらえることを目的にしています。
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
Kondo Hitoshi
2016年1月25日 ビジネスセミナーの登壇資料です
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
PHPカンファレンス2016における講演資料
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
kintone hive nagoya ヤマハ発動機 原子氏
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Cybozucommunity
2016年12月7日「CMS & MA Summit 冬の小祭」のセッション資料です。IBM Bluemixを用いてMauticを構築する際の例やポイントをご紹介しています。
Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」
Kohei Nishikawa
2017.09.09 CLR/H #clrh106 ~ オータムフェストを楽しもう ~ の Dev トラックにて使用した資料です。
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Yugo Shimizu
近年のサイバー犯罪においてPowerShellが頻繁に悪用されていることに対し、MicrosoftはAnti-Malware Scan Interface (AMSI)と呼ばれる機能をWindows 10に追加した。AMSIは、Microsoftやその他のベンダーが、PowerShell等のスクリプトエンジンの動作をより詳細に監視することを可能にするAPIであり、Windows 10のリリース以降、複数の研究者によりその有効性と制限が研究、報告されてきた。 このような流れのなか、AMSIがWindows 10でのみ有効であることなどを理由に、多くのセキュリティ・ソフトウェアベンダーがいまだAMSIの利用を見合わせている。その一方で、攻撃者は素早くAMSIの制限を理解し、回避手法を攻撃に組み込むなどの動きを見せており、PowerShellを用いた攻撃の検出と防御はますます困難になっているのが現状である。 このような高度な攻撃の脅威を防ぐために、本講演では、.NETプログラムのネイティブコードをフック(改竄)する技法を用いて、どのようにPowerShellの実行に対する可視性を高めるかを説明する。この技法の現実的な適用シナリオとして、本講演では、AMSIの機能を拡張し、かつ既知の制限を排除する方法を、.NET FrameworkおよびPowerShellエンジンの内部動作の解析結果を交えながら紹介し、その有効性を実演する。
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
VIOPS02: 仮想データセンター構築を目指して! 2008年12月11日(木曜日)13:30-16:30 VIOPS02 WORKSHOP Virtualized Infrastructures Workshop [02]
VIOPS02: 仮想データセンター構築を目指して!
VIOPS02: 仮想データセンター構築を目指して!
VIOPS Virtualized Infrastructure Operators group ARCHIVES
う゛ぁーず
Cloud Foundry varz
Cloud Foundry varz
Uemura Yuichi
Similar to 脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction
(20)
Veracity -次世代DVCSとは俺の事だ-
Veracity -次世代DVCSとは俺の事だ-
20161102 cms security
20161102 cms security
Windows Admin Center -HCI管理を中心に-
Windows Admin Center -HCI管理を中心に-
Ossで作るwebサイト
Ossで作るwebサイト
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
20160208 power cms_cloud_public
20160208 power cms_cloud_public
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Silverlight to Next オンライン セミナー
Silverlight to Next オンライン セミナー
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
キャッチアップJavaScriptビルド -ビルドから見るJSの今/2016春
20160125 power cms_cloud_public
20160125 power cms_cloud_public
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Road to success System.IO.Compression.ZipArchive Feedback
Road to success System.IO.Compression.ZipArchive Feedback
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Bluemix で構築するマーケティングオートメーション「Mautic」
Bluemix で構築するマーケティングオートメーション「Mautic」
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
VIOPS02: 仮想データセンター構築を目指して!
VIOPS02: 仮想データセンター構築を目指して!
Cloud Foundry varz
Cloud Foundry varz
脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction
1.
脆弱性統計 (CMS編) 導入版 CMS Vulnerability Statistics R
SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
2.
お仕事柄、 日々脆弱性情報を 見ているわけですが 2
3.
CMSの脆弱性 多くない? 3
4.
という事で CMS脆弱性の統計を 取りはじめました 4
5.
統計対象は CMS四天王 (とりあえず) 5
6.
徳丸浩さんチョイス: WordPress Joomla Drupal MovableType http://blog.tokumaru.org/2015/06/cms.html 6
7.
CMSのCVEを探す NVDなどから統計を取る ために大量の検索をする ⇒おこられる! 7
8.
CMSのCVEを探す cve-search https://github.com/wimremes/cve-search NVDなどからCVE情報を ダウンロード、ローカルで 検索できるDBを構築できる 8
9.
CVEからCMSを探す cve-searchに必要なもの Python3.2以降 MongoDB 2.2以降 他はREADME.md見てね 9
10.
CMS四天王を抽出する CVEをCMS名で全文検索 するとノイズが混ざる! “WordPress”本体のみの CVEを抜き出したい! 10
11.
CPE(Common Platform Enumeration) 「情報システムを構成する、 ハードウェア、ソフトウェ アなどを識別するための共 通の名称基準」 http://www.ipa.go.jp/security/vuln/CPE.html 11
12.
CMSのCPE cve-searchにCMS製品のCPEを指定して検索 cpe:2.3:a:wordpress:wordpress cpe:2.3:a:joomla:joomla%21
cpe:2.3:a:sixapart:movabletype cpe:2.3:a:sixapart:movable_type cpe:2.3:a:six_apart:movable_type cpe:2.3:a:movabletype:movable_type_open_source cpe:2.3:a:movabletype:six_apart_movable_type cpe:2.3:a:drupal:drupal 12 ./search.py -p "cpe:2.3:a:wordpress:wordpress:"
13.
CVE件数 WordPress 428 Joomla 398 Drupal
608 MovableType 48 合計 1482 13
14.
CMS四天王の脆弱性シェア NVDに登録されているCVE は71517件(2015/7/27現在) ⇒CMS四天王だけで2.1% やっぱり多い気がする… 14
15.
簡易版ここまで 脆弱性のタイプ(CWE)で分 類したり、期間で分けたり、 プラグインや他のCMSへ対 象を広げたり… いろいろ夢は広がります 15
16.
つづく 16