Hello there, ('ω')ノ
以前にも少しだけ書いた記憶があるのですが。
あまり記事にしないのは、悪用されるのを警戒しているためで。
まずは、防御の対策としてGHDBを利用するのも一つの手法で。
https://www.exploit-db.com/google-hacking-database
wpで検索してみると、WordPress関連のクエリに絞られて。
クエリの目的については、簡単に書いてあるだけで。
実際に検索してみて。
アクセスしてみると、ポータルのログイン画面が。
なので、自社サイトを守るには、robots.txtでヒットさせないようにしたりして。
まずは、検索から逃れることが一つの手段ともいえて。
このようなクエリを実行すると。
Googleは、自分自身が誰であるかも知っていることに注意すべきで。
なので、善意でのみそれを使用することがお勧めで。
たとえば、VPNサービスを使用しもブラウジングIPを追跡するのは非常に簡単で。
誰もが思うほど匿名でなくて。
単一の静的IPから接続すると、Googleが接続のブロックを開始して。
自動クエリを防ぐためにキャプチャチャレンジを要求してきたりと。
ちなみにTorブラウザでもこのような感じで。
他のクエリを見ていくと下記のようなものも。
inurl:/wp-content/plugins/mstore-api/
何を目的に検索をしているのかを調査してみると。
下記のように、3.2.0より前のバージョンのMStoreAPI WordPressプラグインの。
ビジネスロジックの問題には、Sign In With Appleでの認証バイパスがって。
認証されていないユーザが電子メールアドレスのみで。
認証Cookieを回復できるとか。
なので、おそらくポータルのログイン画面からではなく。
プラグインの脆弱性から認証なしで侵入しようとしているのが考えられたりと。
Best regards, (^^ゞ