Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
脆弱性統計
(CMS編)
導入版
CMS Vulnerability Statistics
R SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
お仕事柄、
日々脆弱性情報を
見ているわけですが
2
CMSの脆弱性
多くない?
3
という事で
CMS脆弱性の統計を
取りはじめました
4
統計対象は
CMS四天王
(とりあえず)
5
徳丸浩さんチョイス:
WordPress
Joomla
Drupal
MovableType
http://blog.tokumaru.org/2015/06/cms.html
6
CMSのCVEを探す
NVDなどから統計を取る
ために大量の検索をする
⇒おこられる!
7
CMSのCVEを探す
cve-search
https://github.com/wimremes/cve-search
NVDなどからCVE情報を
ダウンロード、ローカルで
検索できるDBを構築できる
8
CVEからCMSを探す
cve-searchに必要なもの
Python3.2以降
MongoDB 2.2以降
他はREADME.md見てね
9
CMS四天王を抽出する
CVEをCMS名で全文検索
するとノイズが混ざる!
“WordPress”本体のみの
CVEを抜き出したい!
10
CPE(Common Platform
Enumeration)
「情報システムを構成する、
ハードウェア、ソフトウェ
アなどを識別するための共
通の名称基準」
http://www.ipa.go.jp/security/vuln/CPE.ht...
CMSのCPE
cve-searchにCMS製品のCPEを指定して検索
 cpe:2.3:a:wordpress:wordpress
 cpe:2.3:a:joomla:joomla%21
 cpe:2.3:a:sixapart:mova...
CVE件数
WordPress 428
Joomla 398
Drupal 608
MovableType 48
合計 1482
13
CMS四天王の脆弱性シェア
NVDに登録されているCVE
は71517件(2015/7/27現在)
⇒CMS四天王だけで2.1%
やっぱり多い気がする…
14
簡易版ここまで
脆弱性のタイプ(CWE)で分
類したり、期間で分けたり、
プラグインや他のCMSへ対
象を広げたり…
いろいろ夢は広がります
15
つづく
16
Próxima SlideShare
Cargando en…5
×

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。

  • Sé el primero en comentar

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

  1. 1. 脆弱性統計 (CMS編) 導入版 CMS Vulnerability Statistics R SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
  2. 2. お仕事柄、 日々脆弱性情報を 見ているわけですが 2
  3. 3. CMSの脆弱性 多くない? 3
  4. 4. という事で CMS脆弱性の統計を 取りはじめました 4
  5. 5. 統計対象は CMS四天王 (とりあえず) 5
  6. 6. 徳丸浩さんチョイス: WordPress Joomla Drupal MovableType http://blog.tokumaru.org/2015/06/cms.html 6
  7. 7. CMSのCVEを探す NVDなどから統計を取る ために大量の検索をする ⇒おこられる! 7
  8. 8. CMSのCVEを探す cve-search https://github.com/wimremes/cve-search NVDなどからCVE情報を ダウンロード、ローカルで 検索できるDBを構築できる 8
  9. 9. CVEからCMSを探す cve-searchに必要なもの Python3.2以降 MongoDB 2.2以降 他はREADME.md見てね 9
  10. 10. CMS四天王を抽出する CVEをCMS名で全文検索 するとノイズが混ざる! “WordPress”本体のみの CVEを抜き出したい! 10
  11. 11. CPE(Common Platform Enumeration) 「情報システムを構成する、 ハードウェア、ソフトウェ アなどを識別するための共 通の名称基準」 http://www.ipa.go.jp/security/vuln/CPE.html 11
  12. 12. CMSのCPE cve-searchにCMS製品のCPEを指定して検索  cpe:2.3:a:wordpress:wordpress  cpe:2.3:a:joomla:joomla%21  cpe:2.3:a:sixapart:movabletype  cpe:2.3:a:sixapart:movable_type  cpe:2.3:a:six_apart:movable_type  cpe:2.3:a:movabletype:movable_type_open_source  cpe:2.3:a:movabletype:six_apart_movable_type  cpe:2.3:a:drupal:drupal 12 ./search.py -p "cpe:2.3:a:wordpress:wordpress:"
  13. 13. CVE件数 WordPress 428 Joomla 398 Drupal 608 MovableType 48 合計 1482 13
  14. 14. CMS四天王の脆弱性シェア NVDに登録されているCVE は71517件(2015/7/27現在) ⇒CMS四天王だけで2.1% やっぱり多い気がする… 14
  15. 15. 簡易版ここまで 脆弱性のタイプ(CWE)で分 類したり、期間で分けたり、 プラグインや他のCMSへ対 象を広げたり… いろいろ夢は広がります 15
  16. 16. つづく 16

×