WordPressに来る海外ボットの正体|セキュリティ企業と攻撃者の違いとは【アクセスログ分析】
WordPressサイトを公開すると、アクセス解析やサーバーログに海外からのアクセスが大量に記録されることがあります。 特にアメリカからのアクセスが多く、「これって全部攻撃なの?」と不安に感じたことはないでしょうか。 私 … 続きを読む
Webセキュリティ
企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態
営業リストを作成していると、企業サイトのURLをひたすら確認する作業が続きます。 その中で、少し気になることがありました。 「まだHTTPのままのサイトが普通にある…?」 今の時代、ほとんどのWebサイトはHTTPS(S … 続きを読む
WordPressで考えるSSRF対策の回避テクニック|ブラックリストでの防御はなぜ破られるのか
SSRF(Server-Side Request Forgery)は、サーバーに外部リクエストを送らせることで、内部システムへアクセスできてしまう脆弱性です。 多くのアプリケーションでは、SSRFを防ぐために「local … 続きを読む
WordPress公開1ヶ月間のアクセスログ分析|Botの動きはどう変わったか【Security Log #13】
WordPressサイトを公開すると、すぐに攻撃されると言われています。 実際、アクセスログを見ると不審なリクエストが大量にあり、自分のサイトが狙われているのではないかと感じることもあります。 しかし、公開から1ヶ月分の … 続きを読む
localhostと内部ネットワークの違いとは│初心者向けに図解でわかりやすく解説
SSRFを学んでいると、こんな疑問が出てきます。 どちらも「内部っぽい」ので混乱しやすいですが、意味はまったく違います。 この記事では、localhostと内部ネットワークの違いを、図解イメージでシンプルに整理します。 … 続きを読む
WordPressで考えるSSRF│内部ネットワークをスキャンする攻撃|Basic SSRF against another back-end system解説
SSRF(Server-Side Request Forgery)は、サーバーに任意のURLへアクセスさせる攻撃です。 今回のWSAラボ「Basic SSRF against another back-end syste … 続きを読む
WordPressで考えるSSRF│localhostにアクセスする攻撃│Basic SSRF against the local server解説
Webアプリケーションには、外部サービスと連携するためにURLへHTTPリクエストを送る機能が実装されていることがあります。 例えば次のような機能です。 こうした機能は便利ですが、実装によってはサーバー自身が攻撃者の指定 … 続きを読む
WordPressのアクセスログを国別に分析|WP-Cron除外で見えたBotの実態【Security Log #12】
WordPressサイトを公開すると、すぐにさまざまなBotがアクセスしてきます。 これまでのログ分析記事では、Botの種類やスキャン対象のURLを中心に見てきましたが、今回は少し視点を変えて、「どの国からアクセスされて … 続きを読む
WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例
WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。 しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロジック脆弱性」も多く利用されています。 … 続きを読む
WordPressで考える─メールアドレスの解釈のズレでドメイン制限が突破される仕組み
今回は、Web Security Academyの「Bypassing access controls using email address parsing discrepancies」というラボを解説します。 このラ … 続きを読む