WordPress案件、前からいろいろ請けさせてもらっているんですが だんだん「簡単にー」っていう範囲から外れてきていて どんどん予算もかさばっている現状があります。私なりの把握していることを書いてみます。 WordPressが広まりだした頃から、アタックを受けやすくなっているWordPress。 WordPressが動いて安くて便利なロリポップでのアクセス制限のハードルが高いです。 一時期特にロリポップがやっていた「簡単インストール」でやっていたロリポップ加工版のやつに穴があった(?)か何かで、ファイルアップロードしているものにも影響が出てくるように。 ログインのアドレスを変えてみたり、サーバーに関係なくアタックへの対処法っていろいろあったんですが、どんどん.htaccess制限されちゃって。 個別IPアドレスを通す設定にしてるものだから、「IPアドレスって何?」って人にはすごいハードル
県警でサイバー犯罪を担当している人から話を聞いた時のメモが出てきたので下記にまとめる。 メモは2年ほど前のもので、現在の警察の見解とは異なっている可能性がある。 IDとパスワードの管理について同じIDとパスワードを複数のWebサービスで使い回している人は非常に多い。定期的にパスワードを変更することは使い回しの温床になるので推奨していない。IDとパスワードの使い回しを狙って、不正取得したIDとパスワードを複数のサービスに1回ずつ入力して侵入を試みる手口が増えている。1回ずつしか試みられないので不正検知が難しい。フィッシングやスパイウェア等によるtechnicalな不正アクセス事案は全体の4割程度であり、残り6割はパスワード設定管理の甘さや知人・友人にパスワードを漏らしたことによるソーシャルな手口である。10代のオンラインゲームの不正操作事案が急増傾向にある。不正アクセス禁止法について不正アク
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか?」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く