-
WordPressで考える2段階認証の脆弱性|認証コードを突破できるロジック欠陥とは
今回は、Web Security Academyのラボ「2FA broken logic」 をもとに、二要素認証の設計ミスについて解説します。 2段階認証(2FA)は、パスワードに…
-
WordPressで考えるビジネスロジック脆弱性|カート改ざんとマイナス数量の危険性【WSAラボ解説】
ECサイトでは、残高やポイントが足りなければ商品を購入することはできません。カートの合計金額が支払い可能な金額を超えていれば、決済は拒否されるのが普通です。 しかし、もしカートの計…
-
WordPressで考える価格改ざんの仕組み|クライアント側検証の落とし穴【WSAラボ解説】
Web Security Academyのラボを、WordPress視点で整理してみたシリーズ~ビジネスロジック脆弱性編~第1弾。 今回は、ラボ「Excessive trust i…
-
WordPressのログインURL変更だけでは防げない理由|攻撃とスキャンの仕組み
以前の私は、ログインURLを変更すれば安心できると思っていました。セキュリティプラグインを入れ、wp-login.php を別のURLに変更し、「これで大丈夫」とほっとしたのを覚え…
