blog.ripstech.com
Blog postThe Tainted Voyage: Uncovering Voyager's VulnerabilitiesSonarQube Cloud detected an arbitrary file upload in Voyager, tracked as CVE-2024-55417. When combined with other vulnerabilities our research team found, attackers can execute arbitrary code on the server if an authenticated user clicks on a link. Read article > Blog postSonarQube Server 2025.1 LTA Release AnnouncementThe new SonarQ
デãƒãƒƒã‚¬ã‚’利用ã—ã¦Webアプリã®è„†å¼±æ€§ã‚’分æžã—ã¦ã¿ãŸ - ã¨ã‚る診æ–å“¡ã®å‚™å¿˜éŒ²
11/15ã«é–‹å‚¬ã•ã‚ŒãŸã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã«å‚åŠ ã„ãŸã—ã¾ã—ãŸï¼ デãƒãƒƒã‚¬ã§WordPress本体やプラグインã®è„†å¼±æ€§ã‚’追ã„ã‹ã‘ã¦ã¿ã‚ˆã† - connpass ã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã¯ã€ã€ŒWordPress本体ã¨ãƒ—ラグインã®è„†å¼±æ€§ã‚’デãƒãƒƒã‚¬ã§è¿½è·¡ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€è„†å¼±æ€§ã®ä¸èº«ã«ã¤ã„ã¦è©³ã—ã追跡ã—ã€ç†è§£ã‚’æ·±ã‚ã‚‹ã€ã¨ã„ã†å†…容ã®ã‚‚ã®ã§ã‚ã‚Šã€ãªã‚“ã¨ã‚ã®å¾³ä¸¸æµ©ã•ã‚“ãŒè¬›å¸«ã‚’ã•ã‚Œã¦ã„ã¾ã™ï¼ ç§å€‹äººã¨ã—ã¦ã¯ã€ä»•äº‹ã¨ã„ã†ã‹åŠåˆ†è¶£å‘³ã§ã‚†ã‚‹ã‚†ã‚‹è„†å¼±æ€§ã®æ¤œè¨¼ã‚’ã—ã¦ãŠã‚Šã€ä»Šå›žã®å‹‰å¼·ä¼šã¯ã¾ã•ã«è‡ªåˆ†ã®èˆˆå‘³åˆ†é‡Žã«ãƒ‰ãƒ³ãƒ”シャãªå†…容ã ã£ãŸã®ã§ã€éžå¸¸ã«æ¥½ã—ã‚“ã§å‚åŠ ã•ã›ã¦ã„ãŸã ãã¾ã—ãŸï½— ç§ã¯ã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã«ãƒ–ãƒã‚°æž ã¨ã—ã¦å‚åŠ ã„ãŸã—ã¾ã—ãŸã®ã§ã€å‹‰å¼·ä¼šã®å†…容ã«ã¤ã„ã¦æœ¬ãƒ–ãƒã‚°ã«ã¦ãƒ¬ãƒãƒ¼ãƒˆã„ãŸã—ã¾ã™ã€‚ 分æžå¯¾è±¡ã®è„†å¼±æ€§ã«ã¤ã„㦠今回分æžã™ã‚‹é¡Œæã¨ãªã£ãŸè„†å¼±æ€§ã¯ä»¥ä¸‹ã®äºŒã¤ã§ã™ã€‚ ãªãŠã€äºŒã¤ã®è„†å¼±æ€§ã¨ã‚‚徳丸ã•ã‚“ãŒè©³ç´°ãªè§£èª¬è¨˜äº‹ã‚’ブãƒã‚°ã«ã¦å…¬é–‹ã•ã‚Œã¦ãŠã‚Šã¾ã™
Wordpress Exploit Framework v1.9.2 - Framework For Developing And Using Modules Which Aid In The Penetration Testing Of WordPress Powered Websites And Systems
Home / BIND / Denial of Service / Framework / GNU / Linux / Mac / Meterpreter / PHP / Ruby / Testing / Win32 / Windows / WordPress / WordPress Exploit Framework / Wordpress Exploit Framework v1.9.2 - Framework For Developing And Using Modules Which Aid In The Penetration Testing Of WordPress Powered Websites And Systems Wordpress Exploit Framework v1.9.2 - Framework For Developing And Using Module
WordPress 4.7.1 ã®æ¨©é™æ˜‡æ ¼è„†å¼±æ€§ã«ã¤ã„ã¦æ¤œè¨¼ã—ãŸ
エグゼクティブサマリ WordPress 4.7ã¨4.7.1ã®REST APIã«ã€èªè¨¼ã‚’回é¿ã—ã¦ã‚³ãƒ³ãƒ†ãƒ³ãƒ„を書ãæ›ãˆã‚‰ã‚Œã‚‹è„†å¼±æ€§ãŒå˜åœ¨ã™ã‚‹ã€‚攻撃ã¯æ¥µã‚ã¦å®¹æ˜“ã§ã€ãã®å½±éŸ¿ã¯ä»»æ„コンテンツã®æ›¸ãæ›ãˆã§ã‚ã‚‹ãŸã‚ã€é‡å¤§ãªçµæžœã‚’åŠã¼ã™ã€‚対ç–ã¯WordPressã®æœ€æ–°ç‰ˆã«ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã™ã‚‹ã“ã¨ã§ã‚る。 本稿ã§ã¯ã€è„†å¼±æ€§æ··å…¥ã®åŽŸå› ã«ã¤ã„ã¦å ±å‘Šã™ã‚‹ã€‚ ã¯ã˜ã‚ã« WordPress本体ã«ä¹…ã—ã¶ã‚Šã«é‡å¤§ãªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã£ãŸã¨ç™ºè¡¨ã•ã‚Œã¾ã—ãŸã€‚ ã“ã‚“ãªé¢¨ã«æ›¸ãã¨ã€WordPressã®è„†å¼±æ€§ãªã‚“ã¦ã—ょã£ã¡ã‚…ã†è¦‹ã¤ã‹ã£ã¦ã„ã‚‹ã¨ã„ã†æ„見もã‚ã‚Šãã†ã§ã™ãŒã€èƒ½å‹•çš„ã‹ã¤èªè¨¼ãªã—ã«ã€ä¾µå…¥ã§ãる脆弱性ã¯ã“ã“数年出ã¦ã„ãªã„よã†ã«æ€ã„ã¾ã™ã€‚ãã†ã„ã†ã‚¯ãƒ©ã‚¹ã®ã‚‚ã®ãŒä¹…ã—ã¶ã‚Šã«è¦‹ã¤ã‹ã£ãŸã¨ã„ã†ã“ã¨ã§ã™ã。 WordPressã€æ›´æ–°ç‰ˆã§æ·±åˆ»ãªè„†å¼±æ€§ã‚’ä¿®æ£ã€€å®‰å…¨ç¢ºä¿ã®ãŸã‚æƒ…å ±å…¬é–‹ã‚’å…ˆé€ã‚Š Make WordPress Core Conten
WordPress ã®å®‰å…¨æ€§ã‚’高ã‚ã‚‹ - WordPress Codex 日本語版
WordPress ã§ã¯ã‚»ã‚ュリティをéžå¸¸ã«é‡è¦ãªã‚‚ã®ã¨è€ƒãˆã¦ã„ã¾ã™ã€‚ã—ã‹ã—ã€ä»–ã®ã©ã‚“ãªã‚·ã‚¹ãƒ†ãƒ ã§ã‚‚åŒæ§˜ã§ã™ãŒã€åŸºæœ¬çš„ãªã‚»ã‚ュリティ対ç–ãŒãªã•ã‚Œã¦ã„ãªã„å ´åˆã«ã¯å•é¡ŒãŒç™ºç”Ÿã™ã‚‹å¯èƒ½æ€§ã¯ã‚ã‚Šã¾ã™ã€‚ã“ã®ãƒšãƒ¼ã‚¸ã§ã¯ã€ã‚ˆãã‚る脆弱性ã«ã¤ã„ã¦ã€ãã—㦠WordPress を安全ã«ä¿ã¤ãŸã‚ã«ã§ãã‚‹ã“ã¨ã‚’紹介ã—ã¾ã™ã€‚ ã“ã®ãƒšãƒ¼ã‚¸ã¯ã‚»ã‚ュリティã«å¯¾ã™ã‚‹å¿ƒé…を一掃ã™ã‚‹ãã®å ´é™ã‚Šã®å¿œæ€¥æŽªç½®ã¨ã¯é•ã„ã¾ã™ã€‚特定ã®ã‚»ã‚ュリティå•é¡Œã‚„ä¸æ˜Žãªç‚¹ã‚’抱ãˆã¦ã„ã‚‹å ´åˆã¯ã€ã‚³ãƒ³ãƒ”ューターセã‚ュリティã®çŸ¥è˜ã‚’å分ã«æŒã£ã¦ã„ã‚‹ä¿¡é ¼ã®ãŠã‘る人ã¨ãã¡ã‚“ã¨è©±ã—åˆã†ã¹ãã§ã™ã€‚ ã‚»ã‚ュリティã¨ã¯ 基本的ã«ã¯ã€ã‚»ã‚ュリティã¨ã¯ã€Œå®Œç’§ã«å®‰å…¨ãªã‚·ã‚¹ãƒ†ãƒ ã€ã®ã“ã¨ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ãã®ã‚ˆã†ãªã‚‚ã®ã¯å®Ÿç”¨çš„ã§ã¯ãªã„ã‹ã€è¦‹ã¤ã‘ãŸã‚Šé‹ç”¨ã—ãŸã‚Šã™ã‚‹ã®ã¯ä¸å¯èƒ½ã¨ã„ãˆã‚‹ã§ã—ょã†ã€‚ã‚»ã‚ュアãªã‚µãƒ¼ãƒãƒ¼ã¯ã€ã‚µãƒ¼ãƒãƒ¼ç®¡ç†è€…ã®ã‚³ãƒ³ãƒˆãƒãƒ¼ãƒ«ã®ã‚‚ã¨ã«ã€ãƒªã‚½ãƒ¼ã‚¹ã®ãƒ—ライãƒã‚·ãƒ¼ãƒ»æ•´åˆæ€§ãƒ»
ブルートフォース攻撃 - WordPress Codex 日本語版
ソフトウェアã®è„†å¼±æ€§ã«ç€ç›®ã™ã‚‹æ”»æ’ƒã¨ã¯ç•°ãªã‚Šã€ãƒ–ルートフォース攻撃(Brute Force Attack) ã¯ã€éžå¸¸ã«å˜ç´”ãªæ–¹æ³•ã§ã‚¢ã‚¯ã‚»ã‚¹æ¨©ã‚’å–å¾—ã—よã†ã¨ã—ã¾ã™ã€‚ユーザーåã¨ãƒ‘スワードを入力ã—ã€ãƒã‚°ã‚¤ãƒ³æˆåŠŸã™ã‚‹ã¾ã§ç¹°ã‚Šè¿”ã—ã¾ã™ã€‚ 美ã—ããªã„ã§ã™ãŒã€ãƒ¦ãƒ¼ã‚¶ãƒ¼å admin パスワード 123456 ã®ã‚ˆã†ãªã‚‚ã®ã‚’採用ã—ã¦ã„ã‚‹å ´åˆã€æ”»æ’ƒãŒæˆåŠŸã—ã‚„ã™ã„ã§ã™ã€‚ 手çŸã«è¨€ã†ã¨ã€ã‚¦ã‚§ãƒ–サイトã®ã‚»ã‚ュリティã§ä¸€ç•ªè„†ã„å ´æ‰€ã€ã¤ã¾ã‚Šã€ã‚ãªãŸã€ã‚’ç‹™ã£ã¦ã„ã‚‹ã®ã§ã™ã€‚ 攻撃ã®æ€§è³ªä¸Šã€ã‚µãƒ¼ãƒãƒ¼ã®ãƒ¡ãƒ¢ãƒªä¸Šé™ã«é”ã—ã¦ãƒ‘フォーマンス低下を引ãèµ·ã“ã™ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。http リクエストã®æ•° (ã‚ãªãŸã®ã‚µã‚¤ãƒˆã‚’訪å•ã™ã‚‹å›žæ•°) ãŒéžå¸¸ã«å¤šã„ãŸã‚ã€ã‚µãƒ¼ãƒãƒ¼ãŒãƒ¡ãƒ¢ãƒªä¸è¶³ã«ãªã‚‹ã‹ã‚‰ã§ã™ã€‚ ã“ã®æ”»æ’ƒã¯ã€WordPress 特有ã®ã‚‚ã®ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ã™ã¹ã¦ã®ã‚¦ã‚§ãƒ–アプリケーションã«èµ·ã“ã‚Šãˆã¾ã™ã€‚ã—ã‹ã— WordPress ã¯è‰¯ã利用ã•ã‚Œ
XML-RPC wp « WordPress Codex
Interested in functions, hooks, classes, or methods? Check out the new WordPress Code Reference! wp.getUsersBlogs Retrieve the blogs of the users. Parameters string username string password Return Values array struct boolean isAdmin string url string blogid string blogName string xmlrpc wp.getTags Get list of all tags. Parameters int blog_id string username string password Return Values array stru
xmlrpc.phpã«DoS攻撃をå—ã‘ãŸæ™‚ã®å¯¾å‡¦æ³• - WordPressテックラボ - [SMART]
xmlrpc.phpファイルã¨ãã®æ”»æ’ƒã®æ¦‚è¦ WordPressã«ã¯ã‚¹ãƒžãƒ›ã‚¢ãƒ—リãªã©ã®XML-RPCを使ã£ãŸæ›´æ–°ã«ã‚‚対応ã—ã¦ã„ã¦ã€/xmlrpc.phpファイルãŒç”¨æ„ã•ã‚Œã¦ã„ã¾ã™ã€‚ ãŸã ã—ã€ã“ã®ãƒ•ã‚¡ã‚¤ãƒ«ã¯DDoS攻撃ã€ãƒ–ルートフォースアタックã®å¯¾è±¡ã«ã•ã‚Œã¦ã—ã¾ã†ã“ã¨ãŒã‚ã‚Šã€å¯¾è±¡ã«ã•ã‚Œã¦ã„ã‚‹é–“ã¯ã‚µãƒ¼ãƒã®å‹•ä½œãŒé‡ããªã‚‹ã‹ã€ã‚‚ã—ãã¯ã‚¢ã‚¯ã‚»ã‚¹ã§ããªããªã‚Šã€ãƒã‚°ã«ã¯ã‚¢ã‚¿ãƒƒã‚¯ã®ç—•è·¡ãŒå¤§é‡ã«å‡ºåŠ›ã•ã‚Œã¾ã™ã€‚ アクセスãƒã‚°ã«ç‰¹å®šã®IPアドレスã‹ã‚‰å¤§é‡ã®ã‚¢ã‚¯ã‚»ã‚¹ãŒã‚ã£ãŸã‚Šã€ç‰¹ã«ä¸‹è¨˜ã®ã‚ˆã†ãªãƒã‚°ãŒå¤§é‡ã«å‡ºåŠ›ã•ã‚Œã¦ã„ã‚‹å ´åˆã€DDoS攻撃やブルートフォースアタックã®å¯¾è±¡ã«ã•ã‚Œã¦ã„ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ アタックã•ã‚Œã¦ã„ã‚‹ã¨ãã®Apacheãƒã‚° ***.***.***.*** - - [01/Jun/2016...] "POST /xmlrpc.php HTTP/1.1" 200 394 "-" "Mozilla/5.
![xmlrpc.phpã«DoS攻撃をå—ã‘ãŸæ™‚ã®å¯¾å‡¦æ³• - WordPressテックラボ - [SMART]](https://cdn-ak-scissors.b.st-hatena.com/image/square/efeb6493234f33406d242c048873a805fca99c63/height=288;version=1;width=512/https%3A%2F%2Frfs.jp%2Fwp-content%2Fthemes%2Fsmart%2Fogpimage.png)
ブルートフォース攻撃 - WordPress Codex 日本語版
ソフトウェアã®è„†å¼±æ€§ã«ç€ç›®ã™ã‚‹æ”»æ’ƒã¨ã¯ç•°ãªã‚Šã€ãƒ–ルートフォース攻撃(Brute Force Attack) ã¯ã€éžå¸¸ã«å˜ç´”ãªæ–¹æ³•ã§ã‚¢ã‚¯ã‚»ã‚¹æ¨©ã‚’å–å¾—ã—よã†ã¨ã—ã¾ã™ã€‚ユーザーåã¨ãƒ‘スワードを入力ã—ã€ãƒã‚°ã‚¤ãƒ³æˆåŠŸã™ã‚‹ã¾ã§ç¹°ã‚Šè¿”ã—ã¾ã™ã€‚ 美ã—ããªã„ã§ã™ãŒã€ãƒ¦ãƒ¼ã‚¶ãƒ¼å admin パスワード 123456 ã®ã‚ˆã†ãªã‚‚ã®ã‚’採用ã—ã¦ã„ã‚‹å ´åˆã€æ”»æ’ƒãŒæˆåŠŸã—ã‚„ã™ã„ã§ã™ã€‚ 手çŸã«è¨€ã†ã¨ã€ã‚¦ã‚§ãƒ–サイトã®ã‚»ã‚ュリティã§ä¸€ç•ªè„†ã„å ´æ‰€ã€ã¤ã¾ã‚Šã€ã‚ãªãŸã€ã‚’ç‹™ã£ã¦ã„ã‚‹ã®ã§ã™ã€‚ 攻撃ã®æ€§è³ªä¸Šã€ã‚µãƒ¼ãƒãƒ¼ã®ãƒ¡ãƒ¢ãƒªä¸Šé™ã«é”ã—ã¦ãƒ‘フォーマンス低下を引ãèµ·ã“ã™ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。http リクエストã®æ•° (ã‚ãªãŸã®ã‚µã‚¤ãƒˆã‚’訪å•ã™ã‚‹å›žæ•°) ãŒéžå¸¸ã«å¤šã„ãŸã‚ã€ã‚µãƒ¼ãƒãƒ¼ãŒãƒ¡ãƒ¢ãƒªä¸è¶³ã«ãªã‚‹ã‹ã‚‰ã§ã™ã€‚ ã“ã®æ”»æ’ƒã¯ã€WordPress 特有ã®ã‚‚ã®ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ã™ã¹ã¦ã®ã‚¦ã‚§ãƒ–アプリケーションã«èµ·ã“ã‚Šãˆã¾ã™ã€‚ã—ã‹ã— WordPress ã¯è‰¯ã利用ã•ã‚Œ
Attacking WordPress | HackerTarget.com
SECURITY RESEARCH, TOOLS | October 24, 2013 Attacking & Securing WordPress Learn the tips and techniques used to attack and break into WordPress based websites. With knowledge of these hacker techniques, you will be better prepared to keep your sites secure. Penetration testers or red teams wishing to exploit WordPress targets will also find helpful pointers in this guide. Introduction to WordPres
1
ランã‚ング
ランã‚ング
ãŠçŸ¥ã‚‰ã›
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - rastating/wordpress-exploit-framework: A Ruby framework designed to aid in the penetration testing of WordPress systems.
Web App Hacking, Part 6: Exploiting XMLRPC for Bruteforcing WordPress Sites
https://www.wordfence.com/learn/penetration-testing-your-wordpress-website/
Security Advisory: Stored XSS in Akismet WordPress Plugin
Hacking Articles
Defending WordPress with OSSEC
WPScan
{{#tags}}- {{label}}
{{/tags}}