WordPressで考えるAuthentication bypass via encryption oracle│暗号オラクルで認証バイパスが起きる仕組みとは
今回は、Web Security Academyの「Authentication bypass via encryption oracle」というラボを解説します。 このラボでは、一見しっかり暗号化されているCookie … 続きを読む
セキュリティ
WordPressで考える Infinite money logic flaw|クーポンと残高が増殖するロジック脆弱性
今回は、Web Security Academyの 「Infinite money logic flaw」 というラボを解説します。 このラボでは、購入の流れそのものは一見正常に見えるのに、割引されたギフトカードを買って … 続きを読む
WordPress公開5日で来たbotスキャンURLランキング【サーバーログから分析】
WordPressサイトを公開すると、すぐに自動ボットによるスキャンが始まります。 「有名サイトじゃないから攻撃されない」と思われがちですが、実際には小規模サイトでも機械的なスキャンの対象になります。 この記事では、実際 … 続きを読む
WordPressサイトに「/.env」スキャンが来た理由|アクセスログ分析【Security Log #10】
サーバーログを確認していると、次のようなアクセスが記録されていました。 私のサイトはWordPressです。WordPressでは通常、.envファイルは使用しません。 それでは、なぜこのようなファイルを探すアクセスが来 … 続きを読む
WordPressの「/wp-login.php」スキャンとは│アクセスログ分析【Security Log #9】
WordPressサイトを公開すると、さまざまなBotがサイトの構造を調べるためにアクセスしてきます。 特に多く観測されるのが、ログインページ「/wp-login.php」へのアクセスです。 これまでのSecurity … 続きを読む
WordPressサイトに「/admin」「/api」アクセスが来る理由|アクセスログ分析【Security Log #8】
サーバーログを確認していると、次のようなアクセスが頻繁に記録されていることがあります。 しかし、私のサイトはWordPressです。WordPressには通常、/admin や /api というURLは存在しません。 そ … 続きを読む
WordPressの /setup-config.php を探すBotアクセス|アクセスログ分析【Security Log #7】
WordPressサイトを公開すると、すぐにさまざまなBotによるスキャンが始まります。 実際にサーバーログを確認すると、公開から数日間で特定のURLへのアクセスが大量に記録されていました。 その中でも特に多かったのが次 … 続きを読む
WordPress公開直後に来たxmlrpc.php POSTリクエスト|アクセスログ分析【Security Log #6】
WordPressを公開すると、インターネット上のボットによる自動スキャンがすぐに始まります。 これまでのログシリーズでは、WordPress公開直後に来たBotのアクセスやスキャンの様子を分析してきました。 今回は、W … 続きを読む
WordPressでユーザー名がバレる理由と対策|ユーザー列挙攻撃をログから解説【Security Log #5】
WordPressサイトを公開すると、検索エンジンだけでなく、さまざまなBotがアクセスしてきます。その中には、サイトの構造を調べるセキュリティスキャンBotも含まれます。 サーバーログを観察していると、WordPres … 続きを読む
WordPress公開直後に来た「/.git/config」スキャン|アクセスログ分析【Security Log #4】
WordPressサイトを公開すると、検索エンジンだけでなく様々なBotがアクセスしてきます。 以前の記事では、公開直後にBotがアクセスしてくる様子や、最初に確認されるURLについて紹介しました。 【過去の記事】 今回 … 続きを読む