タグ

Web制作と脆弱性に関するbasementjaxxのブックマーク (3)

  • 書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク

    書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク:試してみなけりゃ分からない? 古いWebアプリの脆弱性(4)(1/4 ページ) 前回の記事「CMSに残る反射型XSSを使ったセッションハイジャック」でも紹介したとおり、CMS(Contents Management System)の脆弱性を狙った攻撃が後を絶たないようだ。 中でも話題となっていたのが、共用レンタルサーバを狙った広範囲の書き換え攻撃だ。「共用」という性質もあって、同一のサーバを使用していた複数のユーザーのデータが横断的に書き換えられた点が、2010年代には逆に新しい。この事件で、忘れかけていた昔の設定方法を思い出した方も多かったのではなかろうか。どうやらこの事件を起こしたのは愉快犯だったらしく、書き換え以外に大きな実害はなかったようだが、それでも今さらながら、共用レンタルサーバの怖さに気づい

    書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク
  • パスワード攻撃に対抗するWebサイト側セキュリティ強化策

    Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット

  • WordPressの限界点

    この記事は10年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。このブログもWordPressを利用して作られています。 最近ではブログエンジンのみならず、CMSとして利用される例も多くなってきました。 私自身、案件でもよく利用しているわけですが、近頃ではその限界点を感じるようになり、案件では採用しないことが多くなってきました。 企業のWeb担当者や、システムを知らないがWordPressなら構築が出来ると謳う方には、是非一度考えてもらいたいと思い、ここに記します。 ※この文章は私自身の個人的な意見であり、WordPressで構築されたサイトを批判、中傷するものではありません。 WordPressに問題を感じる理由はいくつかあります。 もちろんその問題をある程度解消する方法も存在することは承知の上で、挙げてみます。 1.DBの問題 WordPressを案件で採用しない一番の

    WordPressの限界点
  • 1