20141117 movable type seminar
?Download as PPTX, PDF?
0 likes?1,875 views
2014年11月17日 ビジネスセミナーの资料です
20141117 movable type seminar
- 1. Movable Type とCMS のセキュリティ 2014年11月17日 シックス?アパート株式会社 長内毅志
- 2. アジェンダ ? 奥别产改ざんの実际 ? 攻撃の実際 ? Movable Type の特徴と安全性 ? 安全性を高めるために ? Movable Type のご紹介
- 3. 奥别产改ざんの実际
- 8. ?CMSの管理権限を奪取してウェブサイトを 改ざん ?CMSの公開ディレクトリに任意のファイル をアップロードしてウェブサイトを改ざん
- 9. CMSに関するハッキングの傾向 ? 20%はCMSのコア部分にある脆弱性への 攻撃、80%はプラグインなど周辺プログラム の脆弱性を狙った攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
- 10. ここまでのまとめ ? 最近のウェブ改ざんは、ウェブサーバーや CMSの脆弱性を狙って攻撃するケースが 多い
- 11. どのような攻撃が存在するか
- 12. もっとも多いパターン ? 使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
- 16. その他 ?SQLインジェクション ?CSRF ?XSS –主にソフトウェアの脆弱性を付くもの
- 17. ここまでのまとめ ?CMSが特定できると、攻撃しやすい ? 総当たり攻撃やファイルアップロード攻撃 など、攻撃者はCMSとプラグインの脆弱性 を狙って攻撃をおこなう
- 20. ロックアウト
- 21. アップロードファイルの制限設定 ? AssetFileExtensions –アップロードできるファイルの種類を制限 ? DeniedAssetFileExtensions –アップロードできないファイルを設定
- 22. ジェネレーター情报の消去
- 23. ここまでのまとめ ? Movable Type は安全性を高めるための設 定?機能が揃っている
- 24. Movable Type の安全性を さらに高めるために
- 25. 最新版を使う ? 最新版を使う
- 27. CGIスクリプトの名称を変える ? CGIスクリプトの名称を変える –AdminScript ? 管理プログラムのCGI スクリプト名を設定します –UpgradeScript ? アップグレードスクリプトを設定します
- 28. 使わないCGIスクリプトの権限を変える ? 使わないCGIスクリプトの権限を変える –MTのコメント機能を利用していない ?mt-comments.cgi の実行権限を無くす –トラックバック機能を利用していない ?mt-tb.cgi の実行権限を無くす
- 29. 例 –Data API 機能を利用していない ?mt-data-api.cgi の実行権限を無くす –ログフィード機能を利用していない ?mt-feed.cgi の実行権限を無くす –公開サイトでMTの検索機能を利用していない ?mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
- 31. ロックアウト设定をする
- 32. パスワードの桁数と組み合わせの種類 文字種の数4桁6桁8桁 10種 (数字のみ) 1万100万1億 26種 (英小文字) 約46万約3億約2千億 62種 (英数字) 約1500万約570億約220兆 94種 (英数記号) 約7800万約6900億約6100兆 「Web担当者フォーラム」より http://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
- 33. 参考 使用する文字の 種類 使用 できる 文字数 最大解読時間 入力桁数 4桁6桁8桁10桁 英字(大文字、小文 字区別無) 26 約3秒約37分約17日約32年 英字(大文字、小文 字区別有)+数字 62 約2分約5日約50年約20万年 英字(大文字、小文 字区別有)+数字+ 記号 93 約9分約54日約1千年 約1千万 年 IPA 2008年発表の資料からhttp://www.ipa.go.jp/security/txt/2008/10outline.html
- 35. ? Movable Type を 安全に利用するために http://www.movabletype.jp/blog/ secure_movable_type.html
- 36. ここまでのまとめ ? 常に最新版へアップデートすることが改善 防止につながる ? Movable Type の設定を調整することで、さ らに安全性は高まる
- 37. その他
- 38. CMSの情報、バージョン情報を消す ? ジェネレータータグをすべて削除する ?搁厂厂、础迟辞尘、搁顿贵ファイルなども注意
- 39. CMSサーバーの場所を特定しづらくする ? 検索、コメント、トラックバックなどを使って いない場合、MTのアプリケーション?サー バー情報は隠せる ? 特定しづらい場所に配置する
- 41. 参考情报
- 42. IPA 「安全なウェブサイトの作り方」 ? https://www.ipa.go.jp/security/vuln/websecurity.html
- 45. 最新バージョン Movable Type 6.0.5
- 46. 5つの新機能 ?Data API ?Chart API ?非公開日指定 ?Google Analyticsとの連携 ?メッセージセンター
- 47. Data API ?JSON形式でデータを取得 ?PHP、JavaScriptなど言語を問わず拡 張
- 48. Data APIの活用例 ?COACH UNITED
- 49. Google Analyticsの連携 ? Google Analyticsと連携してアクセスデータをダッシュ ボード上に表示
- 50. レスポンシブウェブデザインテーマ ?Rainier –ブログ向けテーマ ?Eiger –企業サイト向けテーマ
- 51. Apex ? 追加テーマ「Apex」 http://plugins.movabletype.jp/movable_type/apex.ht ml
- 52. RainierとEiger、Apexのライセンス ? MITライセンス(オープンソース) –自由にカスタマイズ、再頒布可能 –ビジネス利用も可能、オープンソース頒布も
- 53. パフォーマンス改善
- 54. Movable Type クラウド版 ? クラウド環境でMTを提供 ? サーバー保守、メンテナンスはシックス?ア パートが担当 ? 月額5000円~
- 55. サーバー配信機能 ? 外部サーバーへhtml送信 ? ステージング構成が簡単
- 56. バックアップ機能 ? 1日に1度データをバックアップ ? いつでも復旧可能
- 57. 2つの新機能 ? IP制限 –管理画面、公開サイトへのアクセス制限が可能 ? マルチドメイン対応 –S4i、S4g以上、10ドメインまで利用可能
- 58. MT on AWS ? AWS marketplace で提供 ? T1microは無料(AWS使用料別)
- 59. HVMインスタンスに対応 ? T2インスタンスに対応 ? 再構築時に力を発揮
- 60. 惭罢コミュニティとイベント
- 61. ?MT蝦夷 ? (MT東北) ?MT東京 ?MTなごや ?MT関西 ?MT広島 ?MT福岡
- 63. MTDDC Meetup 2014 開催! ? 2014年11月29日(土) 11:00-19:00 ? 六本木ミッドタウン Yahoo! Japan セミナールーム
- 64. MT Live 開催中! ? 第2、4水曜日茅場町で開催中! http://blog.sixapart.jp/2014-09/mt-live-movable-type.html