-
WordPressで考えるSameSite=Laxの限界|Cookie更新でCSRFが成立する理由
CSRF対策として「SameSiteを設定しているから安全」と考えていないでしょうか。 SameSite=Laxは、クロスサイトのPOSTリクエストに対してCookieを送らないこ…
-
迷惑メール対策のつもりが無意味だった企業Webサイトの例|営業リスト作成中に見えた実態
企業のWebサイトでは、迷惑メール対策としてメールアドレスの表記を工夫しているケースがあります。 たとえば「example[at]example.com」のように、「@」をそのまま…
-
WordPressのインストール関連ページを狙うスキャンBotの実態【Security Log #25】
WordPressを運用していると、特定のURLに対して繰り返しアクセスされることがあります。 その中でも特に多いのが、以下のようなセットアップやインストール関連のページです。 こ…
-
WordPressで考えるSameSite Strictの落とし穴|サブドメイン経由でCSRFが成立する理由
SameSite属性を設定しているから、CSRF対策は万全。そう考えていませんか。 確かにSameSiteは有効な防御手段ですが、サイトの構成によっては簡単に回避されるケースがあり…
-
WordPressで考えるSameSite回避|クライアント側リダイレクトでCSRFが成立する理由
CSRF対策として「SameSite属性を設定しているから安全」と考えていませんか。 確かに SameSite=Strict は強力な防御ですが、実装によっては回避されるケースがあ…
-
WordPressで考えるSameSite Laxの落とし穴|GETに見せかけてPOSTとして処理されるCSRF
CSRF対策としてSameSite Cookieを利用しているサイトは多いですが、実装によっては防御を簡単に回避されるケースがあります。 この記事では、Web Security A…
-
Botのアクセス時間帯はなぜ深夜に多いのか|サーバーログから見えた実態【Security Log #24】
サーバーログを観察していると、Botのアクセスは特定の時間帯に偏っていることに気づきます。 特に多いのが、 といった時間帯です。 一見すると「日本の深夜を狙っているのでは?」と思い…
