WordPress公開直後に来たBotの種類を調査|アクセスログ分析【Security Log #3】
WordPressサイトを公開すると、すぐにBotがアクセスしてきます。前回の記事では、公開直後にBotが確認するURLをアクセスログから分析しました。 【関連記事】 今回は、WordPress公開後1週間のアクセスログ … 続きを読む
WordPress
WordPress公開直後にBotが最初に確認するURL|実際のアクセスログから分析【Security Log #2】
前回の記事では、WordPress公開直後にBotがアクセスしてくる様子を紹介しました。今回はそのアクセスログを詳しく見て、Botが最初に確認しているURLを分析してみます。 WordPressサイトを公開すると、驚くほ … 続きを読む
WordPressで考える2FA簡易バイパス|認証コードを入力しなくてもログインできてしまう理由【WSAラボ解説】
Web Security Academyのラボ 「2FA simple bypass」 は、二段階認証(2FA)が設定されているのに、実際には簡単に回避できてしまうケースを扱ったラボです。 2FAはパスワードが漏れても守 … 続きを読む
WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴【Security Log #1】
WordPressサイトを公開した直後のサーバーログを確認してみました。 すると、公開からそれほど時間が経っていないのに、すでにアクセスが記録されていました。 公開したばかりなのに、もうアクセスがある。 「誰か見に来たの … 続きを読む
WordPressで考えるPassword reset broken logic|パスワードリセットトークンが検証されない脆弱性
今回はWeb Security Academyの「Password reset broken logic」ラボをもとに、パスワードリセット機能の設計ミスについて解説します。 パスワードリセットは、ほとんどのWebサービス … 続きを読む
IPアドレス制限に安心していた私が気づいたこと|WordPress運営の失敗と現実
10年ほど前にWordPressを運営していたときのお話です。 ある日、アクセスログを見ていて、違和感に気づきました。 ログイン試行の形跡。見慣れないIPアドレス。海外からのアクセスらしき記録。 それがブルートフォース攻 … 続きを読む
WordPressで考えるWeak isolation on dual-use endpoint|パスワード変更機能の設計ミス
今回は、PortSwiggerのWeb Security Academyにある 「Weak isolation on dual-use endpoint」 というラボをもとに、Webアプリの設計ミスによって他人のアカウン … 続きを読む
WordPressで考えるビジネスロジック脆弱性|カート改ざんとマイナス数量の危険性【WSAラボ解説】
ECサイトでは、残高やポイントが足りなければ商品を購入することはできません。カートの合計金額が支払い可能な金額を超えていれば、決済は拒否されるのが普通です。 しかし、もしカートの計算ロジックに設計ミスがあった場合、本来は … 続きを読む
WordPressで考える価格改ざんの仕組み|クライアント側検証の落とし穴【WSAラボ解説】
Web Security Academyのラボを、WordPress視点で整理してみたシリーズ~ビジネスロジック脆弱性編~第1弾。 今回は、ラボ「Excessive trust in client-side contro … 続きを読む
WordPressのログインURL変更だけでは防げない理由|攻撃とスキャンの仕組み
以前の私は、ログインURLを変更すれば安心できると思っていました。セキュリティプラグインを入れ、wp-login.php を別のURLに変更し、「これで大丈夫」とほっとしたのを覚えています。 ですが、その数日後。またログ … 続きを読む