2015年10月20日火曜日

WordCamp Tokyo 2015にて講演します

WordCamp Tokyo 2015にてウェブセキュリティの話をします。

日時:10月31日(土)10:00~17:00(徳丸の出番は14:10から)
場所:ベルサール神田(東京都千代田区)
費用:500円(申し込みはこちら
講演タイトル:Webサイトをめぐるセキュリティ状況と効果的な防御方法~WordPressを題材として~(アジェンダ

実は、WordPressを題材にした講演を今までしたことがありませんで、事務局からの依頼には当初「WordPressに特化した話はできないけどいいですか」と質問し、「一般的なウェブセキュリティの話をしてくれればよい」という回答でしたのでお引き受けしました。

しかしながら、WordCampでJoomlaやDrupalのデモをするのはいささか礼を失するという思いと、やはりWordCamp来場者にはWordPressを使ったデモをしたほうが訴求するだろうと言う思いから、全体としてはウェブセキュリティの一般的な話を踏まえつつ、題材はWordPressを使うことにしました。そのため、デモは使い回しではなく、WordCamp用に新たに用意いたしました。

現在準備しているデモシナリオは下記となります。

シナリオ1-1: レンタルサーバーの利用者suzukiがWordPressのプラグインの脆弱性により侵入される
シナリオ1-2: suzukiと同じレンタルサーバーの利用者tanakaがシンボリックリンク攻撃により侵入される

シナリオ2: CGI版PHPの脆弱性(CVE-2012-1823) により、png画像に偽装したPHPスクリプトのアップロードと、.htaccssの改ざんをされる

シナリオ3: カスマイズとして追加したPHPスクリプトのSQLインジェクション脆弱性によりWordPressの管理者ユーザを追加され、不正ログイン

シナリオ4: WordPressサイトにパスワード辞書攻撃により侵入される


…どこかで見たようなシナリオだなとお気づきの方もおられると思います。上記シナリオは、現実にあった事件の再現(シナリオ1と2)や、頻繁に発生している事件をベースにしています。

上記シナリオはWordPressを使ったサイト(およびWebサイト全般)に対する主要な侵入経路を網羅していますので、これら経路を把握したうえで、その対策を施すことによりサイトの安全性を向上させることに寄与できると思います。
残念なことに、一般に「WordPress向けセキュリティ対策」として流布されている情報の中には、効果のあまりないものもあります。本セッションでは、効果的な対策を厳選して紹介したいと思います。

それでは、WordCampでお会いしましょう。

0 件のコメント:

コメントを投稿

フォロワー