-
WordPressのdebug=trueは危険|エラー表示が情報漏洩に繋がる理由【Security Note】
WordPressには、エラー内容を表示するためのデバッグ機能があります。 開発中には便利な設定ですが、本番環境で有効にしたままだと、サイトの内部情報をそのまま公開してしまう状態に…
-
WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例
WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。 しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロ…
-
WordPressで考える─メールアドレスの解釈のズレでドメイン制限が突破される仕組み
今回は、Web Security Academyの「Bypassing access controls using email address parsing discrepanc…
-
WordPressで考えるAuthentication bypass via encryption oracle│暗号オラクルで認証バイパスが起きる仕組みとは
今回は、Web Security Academyの「Authentication bypass via encryption oracle」というラボを解説します。 このラボでは、…
-
WordPressで考える Infinite money logic flaw|クーポンと残高が増殖するロジック脆弱性
今回は、Web Security Academyの 「Infinite money logic flaw」 というラボを解説します。 このラボでは、購入の流れそのものは一見正常に見…
-
WordPress公開5日で来たbotスキャンURLランキング【サーバーログから分析】
WordPressサイトを公開すると、すぐに自動ボットによるスキャンが始まります。 「有名サイトじゃないから攻撃されない」と思われがちですが、実際には小規模サイトでも機械的なスキャ…
-
WordPressサイトに「/.env」スキャンが来た理由|アクセスログ分析【Security Log #10】
サーバーログを確認していると、次のようなアクセスが記録されていました。 私のサイトはWordPressです。WordPressでは通常、.envファイルは使用しません。 それでは、…
