株式会社リクルート(c) Recruit Co., Ltd.
「我々はAWS WAFを研究している」宣言 - セキュアスカイプラス
こんにちは、CTOのはせがわです。 本日、AWSさんのセミナーにて、下記内容の発表を弊社宇田川が行いました。 このところ、多くのお客様から「実際、AWS WAFってどれくらい攻撃を防げるんですか?」「AWS WAFの構築、もう少し簡単にできませんか?」「AWS WAFを導入したのはいいけれど、どう運用すればいいのかわからない」などのお問い合わせをよく頂きまます。そのような声にお応えするため、弊社では宇田川を中心にAWS WAFの調査研究を進めており、本日のセミナーを契機に、調査内容を積極的に公開していくことと致しました。 今後も、「WAFといえばやっぱりセキュアスカイ・テクノロジー!」と言ってもらえるよう、積極的に情報公開を継続していきますので、ぜひご期待ください。
さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点 | Gatespace's Blog
2012年の後半ぐらいからレンタルサーバーでWAF(ウェブアプリケーションファイアウォール)を導入するところが増えてきました。 WAF自体は良い物なのですが、CMSとの相性が悪い(CMSの動作が誤検知されてしまい403エラーを返される)ためか、「オフにすべし」といった情報が散見されます。 わざわざ良い物をオフにしてセキュリティのリスクを上げることもないし、せっかくなのでWAFとWordPressを共存させてみたいと思います。 WAF(ウェブアプリケーションファイアウォール)とは WAF(ウェブアプリケーションファイアウォール)は、従来のファイアウォールやIDS、IPSでは防御できなかった攻撃を検知し、ブロックする機能です。 引用「さくらインターネット – WAF(ウェブアプリケーションファイアウォール)」 導入することでWebサーバーに対する不正なアクセスをWAFがブロックしてくれます。静
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 (2/2)
ブラックリスト方式以外 あり得ないと思っていました Scutumで採用しているWAFは、オープンソースのGuardian@JUMPERZ.NET(以下、Guardian)だ。Guardianの開発者である金床氏は、Web関連の開発会社であるビットフォレストの取締役とともにSSTの技術顧問を務めている。 金床氏がGuardianを開発し始めたのは2002年頃。Webの開発や運用において、ApacheやPHP、OpenSSLなどの脆弱性を塞ぐために書き始めたのが発端だ。「とにかく脆弱性を狙う攻撃が次々と出てきたので、攻撃されているのでは?という強迫観念で眠りが浅くなったくらい。でも、当時もWAFは300万円とか、とにかく小さなWeb開発会社では導入できない金額でした。そこで、機械語が混ざっているような怪しいHTTPリクエストをApacheに届く前段階でチェックするプロキシとして、Javaで書い
さくらインターネット、ホスティング向けセキュリティ対策に「SiteGuard」 | ネット | マイコミジャーナル
さくらインターネットは10日、同社が提供するホスティングサービス向けセキュリティ対策に、ジェイピー・セキュアが開発・提供するシグネチャ型Webアプリケーション・ファイアウォール(WAF)である「SiteGuard(サイトガード)」を採用したと発表した。「サイトのWebアプリケーションに対し、容易にセキュリティ対策を施すことが可能」としている。 さくらインターネットによると、SQLインジェクションといった手法を初めとした、Webアプリケーションの脆弱性を悪用した事件が急増。Webアプリケーションのセキュリティ対策が重要視されており、「サーバをレンタルするホスティングサービスにおいても例外ではない」(同社)。 だが同社によると、従来のWAFは、Webサーバ(ドメイン)個別にホワイトリストを設計・作成する必要があったため、「特に共用ホスティングサービスでのWAF機能の提供は難しいと考えられてきた
0x000000 Hacking & Security
is a totally awesome idea still being worked on. Check back later.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
いま知りたいWAF特集 第1回 WAFの歴史 | ScanNetSecurity