SlideShare a Scribd company logo

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction

玲 佐藤, profile picture
玲 佐藤

CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。

Software
1 of 16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
脆弱性統計 (CMS編) 導入版 CMS Vulnerability Statistics R SATO(佐藤 玲) http://reisato.plala.jp/rsato/weblog/
お仕事柄、 日々脆弱性情報を 見ているわけですが 2
CMSの脆弱性 多くない? 3
という事で CMS脆弱性の統計を 取りはじめました 4
統計対象は CMS四天王 (とりあえず) 5
徳丸浩さんチョイス: WordPress Joomla Drupal MovableType http://blog.tokumaru.org/2015/06/cms.html 6
CMSのCVEを探す NVDなどから統計を取る ために大量の検索をする ⇒おこられる! 7
CMSのCVEを探す cve-search https://github.com/wimremes/cve-search NVDなどからCVE情報を ダウンロード、ローカルで 検索できるDBを構築できる 8
CVEからCMSを探す cve-searchに必要なもの Python3.2以降 MongoDB 2.2以降 他はREADME.md見てね 9
CMS四天王を抽出する CVEをCMS名で全文検索 するとノイズが混ざる! “WordPress”本体のみの CVEを抜き出したい! 10
CPE(Common Platform Enumeration) 「情報システムを構成する、 ハードウェア、ソフトウェ アなどを識別するための共 通の名称基準」 http://www.ipa.go.jp/security/vuln/CPE.html 11
CMSのCPE cve-searchにCMS製品のCPEを指定して検索  cpe:2.3:a:wordpress:wordpress  cpe:2.3:a:joomla:joomla%21  cpe:2.3:a:sixapart:movabletype  cpe:2.3:a:sixapart:movable_type  cpe:2.3:a:six_apart:movable_type  cpe:2.3:a:movabletype:movable_type_open_source  cpe:2.3:a:movabletype:six_apart_movable_type  cpe:2.3:a:drupal:drupal 12 ./search.py -p "cpe:2.3:a:wordpress:wordpress:"
CVE件数 WordPress 428 Joomla 398 Drupal 608 MovableType 48 合計 1482 13
CMS四天王の脆弱性シェア NVDに登録されているCVE は71517件(2015/7/27現在) ⇒CMS四天王だけで2.1% やっぱり多い気がする… 14
簡易版ここまで 脆弱性のタイプ(CWE)で分 類したり、期間で分けたり、 プラグインや他のCMSへ対 象を広げたり… いろいろ夢は広がります 15
つづく 16

More Related Content

PPS
Network Vulnerability Assessments: Lessons Learned
amiable_indian
 
PPTX
Vuls×deep security
一輝 長澤
 
PDF
【SSS】クラウド型セキュリティ・サービス
sss-share
 
PDF
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
PDF
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
 
PPTX
Judith Goldberg MedicReS World Congress 2014
MedicReS
 
PPTX
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
 
PPT
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
 
Network Vulnerability Assessments: Lessons Learned
amiable_indian
 
Vuls×deep security
一輝 長澤
 
【SSS】クラウド型セキュリティ・サービス
sss-share
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
Gehirn Inc.
 
Judith Goldberg MedicReS World Congress 2014
MedicReS
 
Vulnerability Assessment and Rapid Warning System Enhancements in
Keith G. Tidball
 
Statistical analysis of clinical data isi 30 01 07
Bhaswat Chakraborty
 

Viewers also liked (6)

PPTX
Management for Security Life Cycle (日本語版)
Akitsugu Ito
 
PPTX
Data management & statistics in clinical trials
International Islamic University Malaysia
 
PPTX
Clinical Research Statistics for Non-Statisticians
Brook White, PMP
 
PDF
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
PDF
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
 
Management for Security Life Cycle (日本語版)
Akitsugu Ito
 
Data management & statistics in clinical trials
International Islamic University Malaysia
 
Clinical Research Statistics for Non-Statisticians
Brook White, PMP
 
Rにおける大規模データ解析(第10回TokyoWebMining)
Shintaro Fukushima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
SlideShare
 
Ad

Similar to 脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction (20)

KEY
Veracity -次世代DVCSとは俺の事だ-
kyon mm
 
PPTX
20161102 cms security
Six Apart
 
PPTX
Windows Admin Center -HCI管理を中心に-
Norio Sashizaki
 
PPTX
Ossで作るwebサイト
Soudai Sone
 
PDF
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
 
PPTX
20160208 power cms_cloud_public
Six Apart
 
PPTX
20160209 power cms_cloud_public
Six Apart
 
PDF
Silverlight to Next オンライン セミナー
インフラジスティックス・ジャパン株式会社
 
PPTX
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
Kondo Hitoshi
 
PPTX
20160125 power cms_cloud_public
Six Apart
 
PPTX
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
 
PDF
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
 
PDF
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
 
PDF
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
PPTX
販売店向けコールセンターシステム開発
Cybozucommunity
 
PPTX
Bluemix で構築するマーケティングオートメーション「Mautic」
Kohei Nishikawa
 
PPTX
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Yugo Shimizu
 
PPTX
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
 
PDF
VIOPS02: 仮想データセンター構築を目指して!
VIOPS Virtualized Infrastructure Operators group ARCHIVES
 
PPTX
Cloud Foundry varz
Uemura Yuichi
 
Veracity -次世代DVCSとは俺の事だ-
kyon mm
 
20161102 cms security
Six Apart
 
Windows Admin Center -HCI管理を中心に-
Norio Sashizaki
 
Ossで作るwebサイト
Soudai Sone
 
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
 
20160208 power cms_cloud_public
Six Apart
 
20160209 power cms_cloud_public
Six Apart
 
Silverlight to Next オンライン セミナー
インフラジスティックス・ジャパン株式会社
 
キャッチアップJavaScriptビルド - ビルドから見るJSの今/2016春
Kondo Hitoshi
 
20160125 power cms_cloud_public
Six Apart
 
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
 
Wpf 4とSilverlight 4、これから業務アプリを開発するならどっち?
Yuya Yamaki
 
Road to success System.IO.Compression.ZipArchive Feedback
Kazushi Kamegawa
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
販売店向けコールセンターシステム開発
Cybozucommunity
 
Bluemix で構築するマーケティングオートメーション「Mautic」
Kohei Nishikawa
 
Power BI をシステムやアプリ開発と一緒に使うなら…~リアルタイムストリーミングの使い方~
Yugo Shimizu
 
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
 
VIOPS02: 仮想データセンター構築を目指して!
VIOPS Virtualized Infrastructure Operators group ARCHIVES
 
Cloud Foundry varz
Uemura Yuichi
 
Ad

脆弱性統計(CMS編)導入版 / CMS Vulnerability Statistics Introduction