-
エラーメッセージの変化から内部到達を判断する方法|HTTPステータスとレスポンスの見方
Webアプリの挙動を調べていると、こんな疑問を持ったことはないでしょうか。 「このエラーって、安全なの?それとも中まで処理が届いてる?」 例えば、 一見するとただのエラーでも、その…
-
User-AgentとRefererは信用できない|WordPressログから見るBotの偽装例
WordPressサイトを公開すると、アクセスログにはさまざまなリクエストが記録されます。 その中には、一見すると「Google」や「Facebook」など、信頼できそうなアクセス…
-
WordPressで考えるSSRFホワイトリストバイパス|URL解釈のズレで内部アクセスが可能になる仕組み
SSRF対策として、「特定のURLのみアクセスを許可する」というホワイトリスト方式が使われることがあります。 一見すると安全に思えますが、この方法だけでは不十分です。 今回のWeb…
-
WordPressに来る海外ボットの正体|セキュリティ企業と攻撃者の違いとは【アクセスログ分析】
WordPressサイトを公開すると、アクセス解析やサーバーログに海外からのアクセスが大量に記録されることがあります。 特にアメリカからのアクセスが多く、「これって全部攻撃なの?」…
-
企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態
営業リストを作成していると、企業サイトのURLをひたすら確認する作業が続きます。 その中で、少し気になることがありました。 「まだHTTPのままのサイトが普通にある…?」 今の時代…
-
WordPressでwp-login.php変更は意味があるのか?セキュリティ効果をログから解説
WordPressのセキュリティ対策としてよく紹介されるのが、ログインURLの変更です。 デフォルトのログインページである/wp-login.phpを別のURLに変更することで、攻…
-
WordPressで考えるSSRF対策の回避テクニック|ブラックリストでの防御はなぜ破られるのか
SSRF(Server-Side Request Forgery)は、サーバーに外部リクエストを送らせることで、内部システムへアクセスできてしまう脆弱性です。 多くのアプリケーショ…
