タグ「WAF」 - はてブログ

タグ WAF

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 50件)

“脆弱性を突くような攻撃を防ぐ”だけではない「WAF」　「AWS WAF」の運用で現場が抱える課題

2024/04/19 14 users 清野 AWS フォーカストピック AWS WAF

WAFで困るのは「直して」と言えないこと清野隼史氏（以下、清野）：ここからはもうちょっと現場レベルまで踏み込んでいきます。その中でも特にWAFのところにフォーカスをしてエピソードを聞きたいなと思います。このトピックでは、AWSの運用で現場が抱えている課題みたいなところを聞きたいなと思っています。こちらも... 続きを読む

AWS WAF について最初から知りたかったこと8選 - ISID テックブログ

2023/10/23 242 users AWS WAF ISID テックブログ最初 AWS クロス

こんにちは。X（クロス）イノベーション本部ソフトウェアデザインセンターセキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思っ... 続きを読む

Log4jで話題になったWAFの回避/難読化とは何か

2021/12/16 282 users Twitter CVE-2021-44228 超弩級回避

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ！... 続きを読む

2020年になってもシグネチャ依存型のWAFが多いのはなぜか? - WAF Tech Blog ｜クラウド型 WAFサービス Scutum 【スキュータム】

2021/01/13 13 users Scutum ファイアウォールスキュータム WAFサービス

はじめに以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどう... 続きを読む

シグネチャ依存型のWAFは避けよう - WAF Tech Blog ｜クラウド型 WAFサービス Scutum 【スキュータム】

2020/04/13 15 users Scutum ウェブサーバスキュータム誤検知オンプレ

はじめに先日、とあるScutumを利用中のお客様からうれしいフィードバックを頂きました。「ウェブサーバをオンプレからクラウドに移した際に、WAFを(一時的にScutumをやめて)そのクラウドにメニューとして用意されていたWAFに切り替えてみたところ、誤検知が多発して本当に苦労した。Scutumがいかに楽なのかが実感でき... 続きを読む

AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ ｜ Developers.IO

2020/03/04 218 users 臼田 Developers.IO AWS WAF 挨拶基礎

こんにちは、臼田です。皆さん、WAFWAFしてますか？(挨拶今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。そもそもWAFってなんだっけ？という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中... 続きを読む

AWS再入門2019 AWS WAF編｜ Developers.IO

2019/11/19 80 users Developers.IO 知見悪意トピック動作

AWS再入門2019AWS WAF編ということで、AWS WAFの知見を共有したいと思います。主なトピックは以下の通りです。 WAF全般のこと AWS WAFの基本 AWS WAFマネージドルール WafCharm WAF全般のこと WAFに期待される主な働きは、悪意のある通信をブロックし、悪意のない通信を許可することです。実際に可能な動作は、通信がWAF... 続きを読む

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog

2019/08/05 426 users piyolog SSRF SSRF攻撃攻撃不正アクセス

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery（SSRF）攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the... 続きを読む

IIJがクラウド型のWAFサービス、DDoS対策やSOCとの連携も | 日経 xTECH（クロステック）

2019/07/09 16 users IIJ xTech SoC DDoS対策 WAFサービス

インターネットイニシアティブ（IIJ）は2019年7月9日、Web上で動くアプリケーションの保護に特化した「WAF（Web Application Firewall）」の機能をクラウドを介して提供する新サービスを始めると発表した。多様化するWebアプリケーションの脆弱性を突いた攻撃から企業のWebサイトを守る。「IIJマネージドWAFサービス」... 続きを読む

WAFとHTTPリクエストスマグリング - WAF Tech Blog ｜クラウド型 WAFサービス Scutum 【スキュータム】

2018/11/01 10 users Scutum スキュータム WAFサービスクラウド型

HRSとは 2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。 https://bugs.php.net/bug.php?id=76582 日本語の情報源としては徳丸さんによるこちらの記事が参考になります。この脆弱性は下記のように、HTTPリクエストヘッダ内に一見矛盾していたり、... 続きを読む

IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog ｜クラウド型 WAFサービス Scutum 【スキュータム】

2018/10/01 33 users ウェブアプリ Scutum ウェブアプリケーション筆者攻撃

はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。筆者は、あくまで個人... 続きを読む

あなたのサイトは大丈夫？待ったなしのChrome 68対策、安全性向上にはWAFも有効 | Web担当者Forum

2018/07/11 31 users 待ったなしサーバーノウハウブロック Web担トップ

Web担トップ » あなたのサイトは大丈夫？待ったなしのChrome 68対策、安全性向上にはWAFも有効あなたのサイトは大丈夫？待ったなしのChrome 68対策、安全性向上にはWAFも有効 SSLによる暗号化とWAFによるブロックでサーバーの安全性を高めよう小山健治 2018/7/12(木) 7:00 Web担当者／仕事 | 解説／ノウハウシェア0... 続きを読む

今となって後悔しているkamiのこと - Qiita

2017/12/20 26 users kami モノリシック CONTEXT Rails Qiita

クリスマス期間になると喜ぶ人もいれば悲しむ人もいる。そんな極端な季節の中で、自分が作った guregu/kami というWAFについて真面目に考えた。 context の正しい使い方や、kamiのAPIで後悔していることを晒そう。 kamiを作ったきっかけまずはkamiの歴史について簡単に説明する。GunosyでアプリのAPIサーバーをRailsからGoに少しずつ書き直していたが、モノリシックだ... 続きを読む

AWSでWAFを導入する理由と最適な選択｜ Developers.IO

2017/12/07 52 users PCI XSS対策 AWS Developers.IO 導入

はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。改めて、なぜWAFを導入するのかを考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む

Apache HTTP Server向けのWebアプリケーションファイアウォール（WAF）「ModSecurity」を使ってみよう - さくらのナレッジ

2017/09/19 72 users ModSecurity ナレッジ未然ソフトウェア攻撃

WebサイトやWebアプリケーションのセキュリティを高めるツールの1つに、「Webアプリケーションファイアウォール（WAF）」と呼ばれるものがある。WAFはあらかじめ指定しておいたパターンに該当するリクエストをブロックすることで、脆弱性を狙う攻撃を未然に防ぐソフトウェアだ。今回はWAFの1つであり、Apache HTTP Serverと組み合わせて利用できる「ModSecurity」を紹介する。 ... 続きを読む

[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる｜ Developers.IO

2017/08/14 11 users Application Firewall ASM 菊池機能

[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる Auto Scaling AWS特集 CloudFormation こんにちは、菊池です。 F5 BIG-IPには、Application Security Manager（ASM）のライセンスを有効化することで利用できる、WAFの機能があります。この、WAF機能につい... 続きを読む

[新機能] AWS WAFでレートベースのルールが作成可能になりました [DDoS/Brute force対策] ｜ Developers.IO

2017/06/22 14 users DDoS Developers.IO DDoS攻撃菊池作成

こんにちは、菊池です。本日（2017/6/22）AWS WAFの新機能が発表され、リクエストレートによるルールが作成可能になりました！ Protect Web Sites & Services Using Rate-Based Rules for AWS WAF レートベースのルールを適用することで、同一IPアドレスからの大量リクエストをブロック可能になります。DDoS攻撃やブルートフォースアタ... 続きを読む

脆弱なWAF達で遊んでみた - とある診断員の備忘録

2017/04/08 105 users 備忘録 Tools hasegawayosuke 診断員話題

2017 - 04 - 08 脆弱なWAF達で遊んでみた最近、二つの脆弱なWAFが公開されました！ Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷（ごく一部かな？ｗ）で話題のこの脆弱なWA... 続きを読む

SiteGuard Lite(WAF)がStruts2の脆弱性S2-045,046に迅速に対応していた | Webセキュリティの小部屋

2017/04/03 18 users piyolog SiteGuard Lite 脆弱性小部屋

自分のサイトの WAF (Web Application Firewall) を SiteGuard Lite にしていたので、情報を調べていたところ、巷で問題になっている Struts 2 の脆弱性である S2-045、S2-046 に関する情報を見つけました。 piyolog さんの情報によると、S2-045 の情報が公開されたのは2017年3月7日時点とのことです。S2-046の公開は201... 続きを読む

Big Sky :: Re: Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる

2017/01/19 70 users Webpack go-assets go-bindata

go-bindata もいいけど、go-assets もいいよ。 Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる - Diary Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる個人的なアプリをつくるとき、だいたい以下のような環境で作業しています WAF は E.... 続きを読む

SELinux を使おう．使ってくれ． - Qiita

2016/12/21 431 users Qiita SELinux 邪魔者 config etc

この記事の目的 SELinux って邪魔者ですか？「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか？ SELinux は理解さえすればとても簡単です．本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使い... 続きを読む

Goのアンチパターン - GolangRdyJp

2016/07/27 421 users GolangRdyJp ラッパー群雄割拠状態 LL言語

Go書いててなんとなく見えてきた Goでやっちゃいけないパターン WAF導入してらくらくWebアプリ WAF自体が現在群雄割拠状態。 WAF毎にハンドラインターフェースが違うので既存コードつなぐにはラッパーが必要。どのWAFもLL言語に比べるとまだまだフィーチャーの網羅範囲が狭い。なのでもちろんLL言語ほど楽には書けないことが多い。リフレクション使いまくりでトータル性能はLL言語並みに遅いの... 続きを読む

AWS WAF を CloudFront の機能と組み合わせて使う #reinvent ｜ Developers.IO

2015/10/06 14 users CloudFront reinvent AWS WAF 機能

AWS WAF と CloudFront の組み合わせ AWS WAF は Amazon CloudFront と簡単に組み合わせて使うことができます。ACL を作成したときに1つ以上 Distribution を設定していれば、AWF は認可とブロック、または Web リクエストのカウントなどを開始できます。 …という以下のページを参考にしながら、CloudFront と組み合わせて使うとどうな... 続きを読む

徳丸　浩さんはTwitterを使っています: "対応Cipher SuitesがTLS_RSA_WITH_RC4_128_MD5 一つだけというロックな設定。IE10以下だと閲覧可能。IE11だと不可 / “インターネットブラウザ「Google Chrome」利用時

2015/09/11 17 users Twitter 徳丸 ockeghem 不可ロック

徳丸　浩 @ockeghem いわゆる「徳丸本」の著者です。脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。プロフィールはこちら https://plus.google.com/+tokumaruorg/about … 続きを読む

donovan という1枚 java ファイルを書けばウェブアプリを立ち上げられる WAF を書いた - その手の平は尻もつかめるさ

2015/04/07 31 users ウェブアプリ Sledge TOKUHIROM Java 表題

2015-04-07 donovan という1枚 java ファイルを書けばウェブアプリを立ち上げられる WAF を書いた java 表題の通りです．Maven Central にも上がっています．moznion/donovan avans という tokuhirom さんが書いた WAF があり，Sledge や Amon2 の流れをくむシンプルで良いフレームワークがあって，最近はもっぱらそれで... 続きを読む