認証バイパス

WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例

vivisec
WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例

WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。 しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロジック脆弱性」も多く利用されています。 … 続きを読む

WordPressで考える Authentication bypass via flawed state machine|ログイン手順の順番が崩れると何が起きるのか

vivisec
WordPressで考える Authentication bypass|ログイン処理の順番ミスで管理者になれる脆弱性

今回は、Web Security Academyの「Authentication bypass via flawed state machine」 というラボを解説します。 このラボでは、ログイン処理の順番の設計ミスによ … 続きを読む

WordPressで考えるInconsistent handling of exceptional input|メールアドレスの文字数制限ミスで管理者権限を奪われる脆弱性

vivisec
WordPressで考えるInconsistent handling of exceptional input|メールアドレスの文字数制限ミスで管理者権限を奪われる脆弱性

今回はWeb Security Academyのラボ「Inconsistent handling of exceptional input」 を解説します。 このラボでは、入力値が想定外の長さだったときの処理ミスによって … 続きを読む

WordPressで考える2段階認証の脆弱性|認証コードを突破できるロジック欠陥とは

vivisec
WordPressで考える2段階認証脆弱性|認証コードを突破できるロジック欠陥とは

今回は、Web Security Academyのラボ「2FA broken logic」 をもとに、二要素認証の設計ミスについて解説します。 2段階認証(2FA)は、パスワードに加えてワンタイムコードを入力することで、 … 続きを読む