2018年9月28日にさくらインターネットの本社(大阪市北区)で、「【徳丸浩と学ぶビジネスセミナー】WordPressにおけるセキュリティと構築ノウハウを学ぶ」を受講してきました。
WordPressについてなんらかの形で関わっている人であれば、避けて通ることはできないと思いましたので、気が付いたことをTwitterでツイートを投稿しました。投稿にはすべて” #KUSANAGI #さくらのイベント”のハッシュタグをつけております。
3部で構成したツイートのみかた
今回のセミナーは主に3つの内容で構成されていました。
- 1.徳丸先生のお話 第一部(Webアプリケーション脆弱性の事例紹介)
- 2.徳丸先生のお話 第二部(WorrPressのセキュリティに関する対策と考え方)
- 3.プライム・ストラテジーさんのお話(KUSANAGIの有用性)
そういえば「徳丸本第2版」まだ買ってなかった。帰りにヨドバシ梅田の書籍コーナーに行こう。#KUSANAGI #さくらのイベントhttps://t.co/MKIPqgUkYH
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
なお一連のツイートは個人的な速記録です。各ツイートの解釈については「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」と合わせてご確認いただければ幸いです。
1.徳丸先生のお話 第一部
徳丸先生のお話が始まりました!#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Webサイトへの侵入経路は2種類しかない#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
– 管理用ツール(認証)の突破
– ソフトウェアの脆弱性を悪用される(基盤ソフトウェア→PHP・Apcheなど→既知の脆弱性、アプリケーションの脆弱性→カスタムアプリケーション→未知の脆弱性)
– ただしDoS攻撃は例外未知の脆弱性については手口を研究する#KUSANAGI #さくらのイベント— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPressの侵入経路
管理用ツールの認証を突破される(WordPressのパスワード)
– OS/Apache
– PHP
– プラグイン
など#KUSANAGI #さくらのイベント— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Shell Shock CVE-2014-6271によるリモートスクリプト実行。デモでバックドアを確認。Linuxの画面にログインできるようになる#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
/var/logに入って攻撃対象の在りかが分かってしまう。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
PHPの脆弱性をデモ。WebShellを設置するコマンドを実行する#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
シンボリックリンク攻撃性に対する脆弱性について。とあるホスティング事業者のWordPressサイトが大量にやられた#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
adminerhttps://t.co/oRXu4GqGeh#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
レンタルサーバーにおいて「悪い人」が第三者のwp-config.phpに拡張子.txtを使ってシンボリックリンクをはる。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPress本体の脆弱性について→「あまりエグい脆弱性はない」#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Adminerを設置する Qiitahttps://t.co/v9OTG8BZLZ#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPressプラグインの脆弱性について→脆弱性のチェックがなされなくても公式に上がる#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
ウェルカートでオブジェクトインジェクション脆弱性のデモ(クレジットカードの情報を盗む)。シリアライズとデシリアライズ。デシリアライズする際にcookieなどを挿入するとオブジェクトのデータが変わる。安全でないでシリアライゼーション#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
ウェルカートでオブジェクトインジェクション脆弱性のデモ。クレジットカードの情報を盗む→盗んだクレジットカード情報がよそのサイトに転送されるデモ。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
徳丸先生のお話、第一部終わりました!#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
2.徳丸先生のお話 第二部
徳丸先生のお話、第二部「対策の考え方」始まりました!#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
サイト企画・制作・運用の各フェーズで必要な対策。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
どんなサーバーを借りたらよいか?
IaaS/VPS/オンプレ→すべての対策 Paas/レンサバ→インフラの面倒を見てくれる SaaS→パスワード管理だけをしっかりと#KUSANAGI #さくらのイベント— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
LinuxディストリビューションやPHPの導入方法→CentOS上の標準PHPを使う。KUSANAGIを使う#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
テーマやプラグインの選定について。どのプラグインが安全かどうか判断は難しいが、脆弱性に対してきちんとして公表しているかどうかが大切。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
脆弱性が修正できず公開停止となるプラグインがあるので、代替案を持っておくとよい。プラグインの選定は早めに。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
IPAの「安全なウェブサイトの作り方」は必ず読むhttps://t.co/skq9jktSnZ#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPress APIのセキュリティ機能をよく理解してプラグインを作る#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
SQLインジェクションは絶対だめ!#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
パーミッション(書き込み権限)を可能な限り制限しておく。書き込み権限が必要な時のみ制限を緩くする#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
とにかくパスワード!(ユーザー名は分かっちゃうので)
よそで使っていないもの←【重要】#KUSANAGI #さくらのイベント— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Adovanced Automatic Update#KUSANAGI #さくらのイベントhttps://t.co/AiC55azAxe
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
パスワードをしっかりと
パッチ適用またはバージョンアップ#KUSANAGI #さくらのイベント— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Google Authenticator 二段階認証プラグインhttps://t.co/goPvU48ozw#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Webサイト公開前に脆弱性診断を実施する(自社 or 専門家)#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
Site Guard Liteは自分も使ってますwhttps://t.co/t02Q3CbQNg#KUSANAGI #さくらのイベント #さくらのVPS
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
3.プライム・ストラテジーさんのお話
プライム・ストラテジーさんのお話が始まりました。#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
金沢大学・読売新聞社・メルセデス・ベンツ#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
https://t.co/ecsNdnAvPA#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPressの高速化について。#KUSANAGI #さくらのイベント #さくらのVPS
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
WordPressの高速化→サーバーサイドでの高速化とフロントエンドの高速化。 #KUSANAGI さんはサーバーサイドの高速化が得意。#さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
サーバーからアプリケーションまで面倒を見てくれる。https://t.co/CVQLOmvGXR#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
さくらのVPSニュースhttps://t.co/5ZkjnVScck#KUSANAGI #さくらのイベント
— Hiroshi Fukui@DMM英会話は休会予定 (@echizenya_yota) September 28, 2018
ツイートは以上です。なんらかの形でWordPressに関わる方の気づきになれば幸いです。徳丸先生、プライム・ストラテジーさん、さくらインターネットさん、ありがとうございました!
「第2版」を使って学習します!
セミナーが終わったあとすぐにヨドバシカメラ梅田の書籍コーナーで「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」を買ってきました。一連のツイートと照合しながら精読をしたいと思います。
