セキュリティブログ

放置されたCNAMEレコードを悪用したサブドメイン乗っ取り攻撃の仕組みと対策

SPFレコードの仕組み、なりすましメール対策、正しい設定方法を解説

DKIMによるメール改ざん検知の仕組みと設定手順を解説

DMARCポリシーの仕組み、SPF/DKIMとの連携、段階的な導入方法を解説

HTTPS通信の仕組み、SSL/TLS証明書の種類、無料で導入する方法を解説

HSTSヘッダによるHTTPS強制の仕組み、中間者攻撃の防止、設定手順を解説

CSPヘッダによるXSS対策の仕組み、ディレクティブの設定方法を解説

クリックジャッキング攻撃の仕組みとX-Frame-Optionsヘッダによる防御方法を解説

MIMEスニッフィング攻撃の仕組みとX-Content-Type-Optionsヘッダによる対策を解説

リファラー情報漏洩のリスクとReferrer-Policyヘッダによる制御方法を解説

Permissions-Policyヘッダによるカメラ・マイク等のブラウザ機能制限方法を解説

WordPressの既知の脆弱性、バージョン情報露出のリスク、アップデート戦略を解説

認証不要のREST APIバグにより48時間で150万ページが改ざんされた事例

8年分のバージョン（4.1〜5.8.2）に影響したWP_QueryクラスのSQLインジェクション

画像クロップ機能を悪用したパストラバーサルによるリモートコード実行

3年以上未発見だった投稿スラッグのStored XSS。wordpress.org自体も影響

90万サイトが影響。バックアップ受信機能を悪用した任意ファイルアップロードによるRCE

CVSS最高スコア10.0、実際に悪用確認済み。ログインAPIの認証バイパスで管理者権限を奪取

フォーム経由でロール制限なしにユーザー登録が可能。PoCが公開済みで悪用リスク高

本人確認なしにパスワードリセットが可能。管理者アカウントを含む全ユーザーが対象

購読者権限だけでサイト全体をリセットし管理者権限を奪取できる認可不備の脆弱性

自動車販売サイト向けテーマに未認証のアカウント乗っ取り脆弱性。2.2万サイトが影響

X-Forwarded-Forヘッダを悪用した管理画面へのStored XSS。セッション乗っ取りの危険

40万サイトが影響。メールログからパスワードリセットリンクを窃取し管理者を乗っ取る

20万サイトが影響。DNS PTRレコード偽装で認証を迂回し任意プラグインをインストール

ユーザー登録時にrole=administratorを指定するだけで管理者になれる。Metasploitモジュール公開済み

call_user_func()への未サニタイズ入力で任意PHP関数を実行。13万件の攻撃試行をブロック

図書館・教育機関向けプラグインに未認証SQLインジェクション。DBの全情報が漏洩するリスク

管理画面、設定ファイル、バックアップ等の露出リスクとアクセス制限方法を解説

公開ポートを経由した攻撃の仕組みとファイアウォールによる対策を解説