タグ WAF
人気順 10 users 50 users 100 users 500 users 1000 users[AWS][Terraform]Security LakeでCloudTrailやWAFのログをGrafanaで可視化する
こんにちは!ファインディでSREチームをしている安達(@adachin0817)です。 この記事はFindy Advent Calendar 2024 13日目の記事です。12月といえば、私が飼っているフレンチブルドッグのBull氏が2歳を迎えました。この二年間、仕事しつつ、犬の面倒も見れたことを誇りに思います。 happy birthday bull !! 2 sai pic.twi... 続きを読む
「Oisix.com」に不正ログイン10万件 WAF導入も、パスワードリスト攻撃防げず
オイシックス・ラ・大地は11月26日、食品宅配ECサービス「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性があると発表した。同社は不正ログイン攻撃対策としてWAF(Web Application Firewall)を導入していたが、防げなかったという。 クレジットカード番号は決... 続きを読む
AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ? - カミナシ エンジニアブログ
どうも Security Engineering の西川です。好きなポケモンはクワッスです。カミナシ社内に遂にポケモンカード部ができまして、部員同士切磋琢磨し始めています。いつか企業対抗ポケモンカード大会をするのが夢です。 さてさて、皆さんは AWS WAF(Web Application Firewall、以下 WAF)を使っていますか?サービスに WAF... 続きを読む
[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対... 続きを読む
“脆弱性を突くような攻撃を防ぐ”だけではない「WAF」 「AWS WAF」の運用で現場が抱える課題
WAFで困るのは「直して」と言えないこと 清野隼史氏(以下、清野):ここからはもうちょっと現場レベルまで踏み込んでいきます。その中でも特にWAFのところにフォーカスをしてエピソードを聞きたいなと思います。このトピックでは、AWSの運用で現場が抱えている課題みたいなところを聞きたいなと思っています。こちらも... 続きを読む
AWS WAF について最初から知りたかったこと8選 - ISID テックブログ
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思っ... 続きを読む
AWS App Runner introduces web application firewall (WAF) support for enhanced security
AWS App Runner now supports AWS web application firewall (WAF). AWS WAF gives you control over what traffic reaches your web applications or APIs depending upon your security and business needs. App Runner makes it easier for developers to quickly deploy containerized web applications and APIs to... 続きを読む
Cloudflare、WAFやDDoS攻撃対策を無料提供 中小企業向けにセキュリティ支援
米Cloudflareが、中小企業向けセキュリティ支援プログラムを日本やドイツなど5カ国で始めた。WAFやDDoS攻撃対策といったセキュリティサービスを無料提供する。 米Cloudflareは12月13日(日本時間)、中小企業向けセキュリティ支援プログラムを日本やドイツなど5カ国で始めた。条件を満たした組織に、WAF(Webアプリケー... 続きを読む
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!... 続きを読む
Cloud Armor の WAF ルールで Apache Log4j の脆弱性対策をする
Google Cloud Japan Advent Calendar 2021 の 12 日目…ではありません。(12 日目の記事はこちらです。お、たまたま脆弱性関連ですね。) 年の瀬も差し迫った 2021 年 12 月 10 日(金)、Apache Log4j の脆弱性に対するゼロデイ攻撃が可能であることが明らかになりました。 Google Cloud の WAF サービスである Cloud A... 続きを読む
2020年になってもシグネチャ依存型のWAFが多いのはなぜか? - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
はじめに 以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどう... 続きを読む
シグネチャ依存型のWAFは避けよう - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
はじめに 先日、とあるScutumを利用中のお客様からうれしいフィードバックを頂きました。 「ウェブサーバをオンプレからクラウドに移した際に、WAFを(一時的にScutumをやめて)そのクラウドにメニューとして用意されていたWAFに切り替えてみたところ、誤検知が多発して本当に苦労した。Scutumがいかに楽なのかが実感でき... 続きを読む
AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | Developers.IO
こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中... 続きを読む
EC2のみの環境にAWS WAFを導入する時に確認しておきたいこと | Developers.IO
EC2のみでWebサーバーをたて本番稼働している環境について、AWS WAFを導入したい旨のご相談をいただくことがあります。AWS WAFを導入する前に知っておきたいこと、確認していただきたいことをご紹介します。 WAFで悪意のないユーザーの通信を遮断してしまうリスクを認識しておく AWS WAFに限らず、WAFは悪意のないユーザ... 続きを読む
AWS再入門2019 AWS WAF編 | Developers.IO
AWS再入門2019AWS WAF編ということで、AWS WAFの知見を共有したいと思います。主なトピックは以下の通りです。 WAF全般のこと AWS WAFの基本 AWS WAFマネージドルール WafCharm WAF全般のこと WAFに期待される主な働きは、悪意のある通信をブロックし、悪意のない通信を許可することです。実際に可能な動作は、通信がWAF... 続きを読む
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the... 続きを読む
IIJがクラウド型のWAFサービス、DDoS対策やSOCとの連携も | 日経 xTECH(クロステック)
インターネットイニシアティブ(IIJ)は2019年7月9日、Web上で動くアプリケーションの保護に特化した「WAF(Web Application Firewall)」の機能をクラウドを介して提供する新サービスを始めると発表した。多様化するWebアプリケーションの脆弱性を突いた攻撃から企業のWebサイトを守る。 「IIJマネージドWAFサービス」... 続きを読む
WAFとHTTPリクエストスマグリング - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
HRSとは 2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。 https://bugs.php.net/bug.php?id=76582 日本語の情報源としては徳丸さんによるこちらの記事が参考になります。 この脆弱性は下記のように、HTTPリクエストヘッダ内に一見矛盾していたり、... 続きを読む
IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。 筆者は、あくまで個人... 続きを読む
あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 | Web担当者Forum
Web担トップ » あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 SSLによる暗号化とWAFによるブロックでサーバーの安全性を高めよう 小山健治 2018/7/12(木) 7:00 Web担当者/仕事 | 解説/ノウハウ シェア0... 続きを読む
今となって後悔しているkamiのこと - Qiita
クリスマス期間になると喜ぶ人もいれば悲しむ人もいる。そんな極端な季節の中で、自分が作った guregu/kami というWAFについて真面目に考えた。 context の正しい使い方や、kamiのAPIで後悔していることを晒そう。 kamiを作ったきっかけ まずはkamiの歴史について簡単に説明する。GunosyでアプリのAPIサーバーをRailsからGoに少しずつ書き直していたが、モノリシックだ... 続きを読む
AWSでWAFを導入する理由と最適な選択 | Developers.IO
はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、 なぜWAFを導入するのか を考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む
Apache HTTP Server向けのWebアプリケーションファイアウォール(WAF)「ModSecurity」を使ってみよう - さくらのナレッジ
WebサイトやWebアプリケーションのセキュリティを高めるツールの1つに、「Webアプリケーションファイアウォール(WAF)」と呼ばれるものがある。WAFはあらかじめ指定しておいたパターンに該当するリクエストをブロックすることで、脆弱性を狙う攻撃を未然に防ぐソフトウェアだ。今回はWAFの1つであり、Apache HTTP Serverと組み合わせて利用できる「ModSecurity」を紹介する。 ... 続きを読む
[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる | Developers.IO
[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる Auto Scaling AWS特集 CloudFormation こんにちは、菊池です。 F5 BIG-IPには、Application Security Manager(ASM)のライセンスを有効化することで利用できる、WAFの機能があります。 この、WAF機能につい... 続きを読む
[新機能] AWS WAFでレートベースのルールが作成可能になりました [DDoS/Brute force対策] | Developers.IO
こんにちは、菊池です。 本日(2017/6/22)AWS WAFの新機能が発表され、リクエストレートによるルールが作成可能になりました! Protect Web Sites & Services Using Rate-Based Rules for AWS WAF レートベースのルールを適用することで、同一IPアドレスからの大量リクエストをブロック可能になります。DDoS攻撃やブルートフォースアタ... 続きを読む