-
WordPressでユーザー名がバレる理由と対策|ユーザー列挙攻撃をログから解説【Security Log #5】
WordPressサイトを公開すると、検索エンジンだけでなく、さまざまなBotがアクセスしてきます。その中には、サイトの構造を調べるセキュリティスキャンBotも含まれます。 サーバ…
-
WordPress公開直後に来た「/.git/config」スキャン|アクセスログ分析【Security Log #4】
WordPressサイトを公開すると、検索エンジンだけでなく様々なBotがアクセスしてきます。 以前の記事では、公開直後にBotがアクセスしてくる様子や、最初に確認されるURLにつ…
-
WordPressで考えるECサイト購入フローの脆弱性|Insufficient workflow validation
※本記事にはアフィリエイトリンクが含まれています。 今回解説するのは、Web Security Academyのラボ 「Insufficient workflow validati…
-
WordPress公開直後に来たBotの種類を調査|アクセスログ分析【Security Log #3】
WordPressサイトを公開すると、すぐにBotがアクセスしてきます。前回の記事では、公開直後にBotが確認するURLをアクセスログから分析しました。 【関連記事】 今回は、Wo…
-
WordPress公開直後にBotが最初に確認するURL|実際のアクセスログから分析【Security Log #2】
前回の記事では、WordPress公開直後にBotがアクセスしてくる様子を紹介しました。今回はそのアクセスログを詳しく見て、Botが最初に確認しているURLを分析してみます。 Wo…
-
WordPressで考える2FA簡易バイパス|認証コードを入力しなくてもログインできてしまう理由【WSAラボ解説】
Web Security Academyのラボ 「2FA simple bypass」 は、二段階認証(2FA)が設定されているのに、実際には簡単に回避できてしまうケースを扱ったラ…
-
WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴【Security Log #1】
WordPressサイトを公開した直後のサーバーログを確認してみました。 すると、公開からそれほど時間が経っていないのに、すでにアクセスが記録されていました。 公開したばかりなのに…
