-
WordPress公開直後にBotが最初に確認するURL|実際のアクセスログから分析【Security Log #2】
前回の記事では、WordPress公開直後にBotがアクセスしてくる様子を紹介しました。今回はそのアクセスログを詳しく見て、Botが最初に確認しているURLを分析してみます。 Wo…
-
WordPressで考える2FA簡易バイパス|認証コードを入力しなくてもログインできてしまう理由【WSAラボ解説】
Web Security Academyのラボ 「2FA simple bypass」 は、二段階認証(2FA)が設定されているのに、実際には簡単に回避できてしまうケースを扱ったラ…
-
WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴【Security Log #1】
WordPressサイトを公開した直後のサーバーログを確認してみました。 すると、公開からそれほど時間が経っていないのに、すでにアクセスが記録されていました。 公開したばかりなのに…
-
WordPressで考えるPassword reset broken logic|パスワードリセットトークンが検証されない脆弱性
今回はWeb Security Academyの「Password reset broken logic」ラボをもとに、パスワードリセット機能の設計ミスについて解説します。 パスワ…
-
IPアドレス制限に安心していた私が気づいたこと|WordPress運営の失敗と現実
10年ほど前にWordPressを運営していたときのお話です。 ある日、アクセスログを見ていて、違和感に気づきました。 ログイン試行の形跡。見慣れないIPアドレス。海外からのアクセ…
-
WordPressで考えるWeak isolation on dual-use endpoint|パスワード変更機能の設計ミス
今回は、PortSwiggerのWeb Security Academyにある 「Weak isolation on dual-use endpoint」 というラボをもとに、We…
-
WordPressで考える「Inconsistent security controls」|メール変更だけで管理画面に入れてしまう理由
今回解説するのは、Web Security Academyのラボ「Inconsistent security controls」です。 このラボでは、本来は社員しか使えない管理機能…
