Weitere ähnliche Inhalte
Ähnlich wie InfoSec After ~Case 'WordPress'~ (8)
Mehr von Daisuke Takahashi (9)
Kürzlich hochgeladen (10)
InfoSec After ~Case 'WordPress'~
- 8. InfoSec After
• 「InfoSec After」(インフォセック・アフター)とは、情報セキュリ
ティ関係者が絶対に語りたがらない、情報セキュリティ対策を
講じたその後の『アフターストーリー』。
• 普段は、closedなイベントで、取った対策別に分けてご紹介して
います。
• 今回は特別編「Case WordPress」ということで、情報セキュリ
ティに詳しくないWPユーザ向けに過去ネタから4つを再構成。
- 10. Pattern 1: Strong Credentials
あるブログTに「ユーザ名はadmin以外で、パスワードは数字と
記号を含めたものにしましょう」と書いてあり、それに従った。
- 20. Pattern 1: Strong Credentials
• 結果: サーバ管理者が設定を修正するまで何もで
きませんでした。
• 予防策: セットアップ時にメールが届くことを
知っておけば、そのメールが届かなかったことで、
設定の異常に気が付くことができた。
- 22. Pattern 2: Hide Version
あるブログOに「攻撃者の標的になりやすいから<head>内のバー
ジョン表示は隠した方がいい」と書いてあり、それに従った。
- 23. Pattern 2: Hide Version
あるブログOに「攻撃者の標的になりやすいから<head>内のバー
ジョン表示は隠した方がいい」と書いてあり、それに従った。
どこか問題あった?
- 24. Pattern 2: Hide Version
古いバージョンのWordPressを使用している際に、 Google Webmaster Tools
で表示されるはずの警告が出なかった。
- 27. Pattern 2: Hide Version
• 結果: 攻撃者はその程度ではめげないので、逆に
セキュリティホールを防げずに、見事クラックさ
れ、改ざんの被害にあった。
• 予防策: 管理画面の更新通知には従うこと。
• 注: 現在は自動更新機能があります。この機能を無効化せず、
正しく動作することの確認をしましょう。
- 29. Pattern 3: Limit IP Address
あるブログLに「管理画面にログインできるIPアドレスを自分のIP
アドレスのみに制限した方がいい」と書いてあり、それに従った。
- 30. Pattern 3: Limit IP Address
あるブログLに「管理画面にログインできるIPアドレスを自分のIP
アドレスのみに制限した方がいい」と書いてあり、それに従った。
これはいいでしょ!
- 32. Pattern 3: Limit IP Address
• 結果: 数時間後、IPアドレスが変わってしまい、
ログインできなくなりとても苦労した。
• 予防策: なぜ、そんな無駄なことした?そのIPア
ドレスはあんたの所有物じゃねぇ。
- 34. Pattern 4: Custom Table Prefix
あるWikiに「データベースの接頭辞はデフォルトの”wp_”から変え
ておいた方がいい」と書いてあり、それに従った。
- 35. Pattern 4: Custom Table Prefix
SQLインジェクションを何とか妨害したいらしい。
(パスワード欄に「1′ or ‘1’=’1」って入れるやつ。)
- 36. Pattern 4: Custom Table Prefix
SQLインジェクションを何とか妨害したいらしい。
(パスワード欄に「1′ or ‘1’=’1」って入れるやつ。)
素晴らしい対策だ!
- 38. Pattern 4: Custom Table Prefix
じゃあ、1′ or ‘1’=’1; SHOW TABLESとかどうでしょ?
テーブル名の一覧が出てきますよ?
- 39. Pattern 4: Custom Table Prefix
+----------------------+
| Tables_in_wordpress |
+----------------------+
| myprefix_commentmeta |
| myprefix_comments |
| myprefix_links |
| myprefix_options |
| myprefix_postmeta |
+----------------------+
- 40. Pattern 4: Custom Table Prefix
• 結果: 普通にクラックされ、同じデータベース内
の別のソフトウェアの情報も奪取された。
• 予防策: そもそもSQLインジェクションの脆弱性が
あったらどうしようもない。