さよならCSRF(?) 2017 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/11/29 91 users Scutum スキュータム WAF Tech Blog

はじめに 2017年、ついに OWASP Top 10 が更新されました。筆者が一番印象的だったのは「Top 10にCSRFが入っていない」ということです。 なぜCSRFが圏外になってしまったのかは4ページのリリースノートで軽く説明されています。「retired, but not forgotten」つまり「引退したね...でも君の事は忘れてないよ」という感じでしょうか。全米がCSRFのために泣き... 続きを読む

Tomcatに見つかった3つの脆弱性について - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/10/03 74 users Tomcat RCE Scutum JSP ソースコ

はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615～12617の3つの脆弱性は基本的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコ... 続きを読む

Struts2が危険である理由 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/03/27 483 users Scutum Struts セキュ スキュータム 筆者

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「 例えば、Strutsを避ける 」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュ... 続きを読む

HTTP/2のRFCを読んだ感想 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2015/05/27 247 users RFC Scutum プロキシサーバ http スキュータム

はじめに 私は自ら「串職人」と名乗るほどウェブの(つまりHTTPの）Proxyサーバが好きで、もう10年以上もプロキシサーバを作り続けています。このブログの主題であるクラウド型WAF、Scutumもそのひとつです。そもそもプロトコルとしてのHTTPが好きです。ウェブの裏側に、とてもシンプルな、テキストベースのHTTPプロトコルが活躍しているということが私の串職人としての出発点です。 HTTP/2が... 続きを読む

JavaのString生成方法がボトルネックになっていた話 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2015/05/07 376 users Scutum コンストラクタ ボトルネック スキュータム 負荷

はじめに 先日、私たちが開発しているクラウド型WAFサービス、Scutum(スキュータム)において、予想していなかった箇所の修正によってサーバの負荷が大幅に減るということがありました。原因はこのエントリのタイトルにもあるように、Stringクラスのインスタンスを生成する際の方法にありました。 Stringクラスのコンストラクタとcharset Stringクラスにはいくつかのコンストラクタが用意さ... 続きを読む

ベイジアンネットワークを使ったウェブ侵入検知 - WAF Tech Blog ｜ SaaS型 WAFサービス　Scutum　【スキュータム】

2014/02/10 73 users Scutum ベイジアンネットワーク スキュータム 検知 観点

はじめに 私たちが提供しているSaaS型のWAFサービス、Scutum（スキュータム）では、より高精度な攻撃検知を実現するために、ベイジアンネットワークの技術を利用しています。今回は「ウェブセキュリティ」「不正検知」「異常検知」「攻撃検知」といった観点から、ベイジアンネットワークについて解説します。 ベイジアンネットワークとは？ ウィキペディアによると、ベイジアンネットワークは次のようなものです。... 続きを読む