WordPressエラーがそのまま表示されている企業サイトの実態
営業リストを作成していると、企業サイトを1件ずつ確認することになります。 その中で、たまに「え、この状態で公開されてるの?」と思うような画面に出会うことがあります。 WordPressのエラーや不具合が、そのままユーザー … 続きを読む
セキュリティ
WordPressで考えるBlind SSRFとShellshock|見えない攻撃が内部サーバーに到達する仕組み
Blind SSRFは、レスポンスが確認できないため一見すると危険性が低いように見えます。 しかし、外部通信(OAST)や他の脆弱性と組み合わせることで、内部サーバーへの侵入やコマンド実行に発展する可能性があります。 本 … 続きを読む
Search Consoleに攻撃者っぽい検索クエリが出た話|inurl:wp-adminの意味とリスク
Search Consoleには、普段あまり意識しないような検索クエリが表示されることがあります。 今回見つけたのは、少し気になるもの。 WordPressの管理画面に関係するこの検索が、なぜか私のサイトで上位表示されて … 続きを読む
URLがIPアドレスのまま公開されている企業サイトの実態|営業リスト作成で見つけた例外的なケース
営業リストを作成していると、さまざまな企業サイトを確認することになります。 その中で、ほとんどのサイトは問題なくドメイン(example.comなど)で運用されていますが、あるとき少し違和感のあるURLに出会いました。 … 続きを読む
WordPressで考えるBlind SSRF|Refererヘッダーから発火する見えない攻撃と検知方法
今回のラボ「Blind SSRF with out-of-band detection」では、Refererヘッダーに含まれるURLをサーバー側が取得する仕組みを利用し、Blind SSRF(見えないSSRF)を検証しま … 続きを読む
SSRFとは何か|仕組み・できること・対策を解説
SSRF(Server-Side Request Forgery)は、Webアプリケーションにおける代表的な脆弱性の一つです。 少し分かりにくい概念ですが、ポイントはシンプルです。 サーバーに対して、本来意図していないU … 続きを読む
公開2日後に来たcurlアクセスの正体|WordPressアクセスログから見る最初の挙動【Security Log #19】
サイト公開直後は、しばらく誰もアクセスしないと思っていました。 しかし実際のサーバーログを確認すると、公開からわずか2日後に「curl」によるアクセスが確認されました。 しかもその後、User-Agent(ユーザーエージ … 続きを読む
WordPressに海外IPアドレスからアクセスが来る理由|すべてブロックすべきなのか
WordPressを運用していると、サーバーのアクセスログに海外IPアドレスからのアクセスが記録されることがあります。 「海外からアクセスされている…危険なのでは?」「全部ブロックした方がいいのでは?」 そう感じる方も多 … 続きを読む
WordPress公開直後のログ観察まとめ|Botは何を見ているのか【Security Log #18】
WordPressサイトを公開すると、アクセスがほとんどない状態でも、すぐに外部からのアクセスが発生します。 その多くは人間ではなく、自動化されたBotによるものです。 本記事では、実際のサーバーログをもとに、WordP … 続きを読む
botスキャンが突然止まった|ログから見えた“見切りライン”【Security Log #17】
WordPressを公開すると、すぐにBotによるスキャンが始まります。 wp-login.php や xmlrpc.php、wp-json/wp/v2/users など、典型的なエンドポイントへのアクセスはよく知られて … 続きを読む