OWASP AppSec APAC 2014

この発表の中身を決めるのは、、、貴方だ！
講演前にカンファレンス参加者はセキュリティのテストをしたい自分の好きなWordPressプラグインをemailで教えてほしい。講演中のデモでリクエストのあったプラグインに対してセキュリティ診断を行う。
以前、同じような試みをしたところWordPressのプラグインでダウンロードされるトップ50のうち30%は一般的なWeb攻撃の脆弱性を持つことが示された。今回はどうなるだろうか。

この試みを続けているのは、プラグインのセキュリティ診断を行うことは多くの攻撃に対するハッカーとしての第一歩となるからだ。対照的に、SQLMapなどのツールを用いて過去の多くのSQLインジェクション攻撃への対応では、サイトのプラットフォームやカスタマイズされた開発コードに焦点を当てていない。むしろ、WordPressやJoomlaのような人気を博しているCMSへの攻撃は有効だ。
成熟し市場に浸透しているCMSはマーケティングやセールスや人事などに属する個人が容易に自分用のサイトを構築することができる。このため脆弱性をアプリケーションに持っていたとしても、CMSは広く使われている。

The flow of this talk is given by – you! Before this talk, we emailed the audience to provide us with their favorite WordPress plugins that they would like to test for security. In a live demo, we assess the security of the requested plugins. Previous similar trials that we performed on WordPress showed that 30% of the top 50 most downloaded plugins were vulnerable to common Web attacks. What will be the results of this experiment?

As we’ll continue to show, assessing the security posture of a plugin is only the hacker’s first step in mass attacks. As opposed to past mass SQL Injection attacks which leveraged tools such as SQLMap, these next wave of attacks do not focus on the site’s platform or customized development code. Rather, these attacks leverage on the increasing popularity of CMS platforms such as WordPress and Joomla. The maturity, prevalence and market penetration of CMS platforms allow any marketing, sales or HR individual to easily set up their own fully-operational site. Accordingly, CMS apps are flourishing – and so are the vulnerabilities in these apps.