はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ WAF

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 53件)
次の25件 »

「Oisix.com」に不正ログイン10万件 WAF導入も、パスワードリスト攻撃防げず

2024/11/27 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip パスワードリスト攻撃 大地 オイシックス・ラ 不正ログイン

オイシックス・ラ・大地は11月26日、食品宅配ECサービス「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性があると発表した。同社は不正ログイン攻撃対策としてWAF(Web Application Firewall)を導入していたが、防げなかったという。 クレジットカード番号は決... 続きを読む

AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ? - カミナシ エンジニアブログ

2024/10/01 このエントリーをはてなブックマークに追加 86 users Instapaper Pocket Tweet Facebook Share Evernote Clip カミナシ AWS WAF エンジニアブログ 西川 ポケモン

どうも Security Engineering の西川です。好きなポケモンはクワッスです。カミナシ社内に遂にポケモンカード部ができまして、部員同士切磋琢磨し始めています。いつか企業対抗ポケモンカード大会をするのが夢です。 さてさて、皆さんは AWS WAF(Web Application Firewall、以下 WAF)を使っていますか?サービスに WAF... 続きを読む

[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO

2024/07/11 このエントリーをはてなブックマークに追加 92 users Instapaper Pocket Tweet Facebook Share Evernote Clip DevelopersIO DDoS攻撃 beco_minn

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対... 続きを読む

“脆弱性を突くような攻撃を防ぐ”だけではない「WAF」 「AWS WAF」の運用で現場が抱える課題

2024/04/19 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip 清野 AWS フォーカス トピック AWS WAF

WAFで困るのは「直して」と言えないこと 清野隼史氏(以下、清野):ここからはもうちょっと現場レベルまで踏み込んでいきます。その中でも特にWAFのところにフォーカスをしてエピソードを聞きたいなと思います。このトピックでは、AWSの運用で現場が抱えている課題みたいなところを聞きたいなと思っています。こちらも... 続きを読む

AWS WAF について最初から知りたかったこと8選 - ISID テックブログ

2023/10/23 このエントリーをはてなブックマークに追加 242 users Instapaper Pocket Tweet Facebook Share Evernote Clip AWS WAF ISID テックブログ 最初 AWS クロス

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思っ... 続きを読む

Log4jで話題になったWAFの回避/難読化とは何か

2021/12/16 このエントリーをはてなブックマークに追加 282 users Instapaper Pocket Tweet Facebook Share Evernote Clip Twitter CVE-2021-44228 超弩級 回避

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!... 続きを読む

2020年になってもシグネチャ依存型のWAFが多いのはなぜか? - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

2021/01/13 このエントリーをはてなブックマークに追加 13 users Instapaper Pocket Tweet Facebook Share Evernote Clip Scutum ファイアウォール スキュータム WAFサービス

はじめに 以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどう... 続きを読む

シグネチャ依存型のWAFは避けよう - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

2020/04/13 このエントリーをはてなブックマークに追加 15 users Instapaper Pocket Tweet Facebook Share Evernote Clip Scutum ウェブサーバ スキュータム 誤検知 オンプレ

はじめに 先日、とあるScutumを利用中のお客様からうれしいフィードバックを頂きました。 「ウェブサーバをオンプレからクラウドに移した際に、WAFを(一時的にScutumをやめて)そのクラウドにメニューとして用意されていたWAFに切り替えてみたところ、誤検知が多発して本当に苦労した。Scutumがいかに楽なのかが実感でき... 続きを読む

AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | Developers.IO

2020/03/04 このエントリーをはてなブックマークに追加 218 users Instapaper Pocket Tweet Facebook Share Evernote Clip 臼田 Developers.IO AWS WAF 挨拶 基礎

こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中... 続きを読む

AWS再入門2019 AWS WAF編 | Developers.IO

2019/11/19 このエントリーをはてなブックマークに追加 80 users Instapaper Pocket Tweet Facebook Share Evernote Clip Developers.IO 知見 悪意 トピック 動作

AWS再入門2019AWS WAF編ということで、AWS WAFの知見を共有したいと思います。主なトピックは以下の通りです。 WAF全般のこと AWS WAFの基本 AWS WAFマネージドルール WafCharm WAF全般のこと WAFに期待される主な働きは、悪意のある通信をブロックし、悪意のない通信を許可することです。実際に可能な動作は、通信がWAF... 続きを読む

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog

2019/08/05 このエントリーをはてなブックマークに追加 426 users Instapaper Pocket Tweet Facebook Share Evernote Clip piyolog SSRF SSRF攻撃 攻撃 不正アクセス

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the... 続きを読む

IIJがクラウド型のWAFサービス、DDoS対策やSOCとの連携も | 日経 xTECH(クロステック)

2019/07/09 このエントリーをはてなブックマークに追加 16 users Instapaper Pocket Tweet Facebook Share Evernote Clip IIJ xTech SoC DDoS対策 WAFサービス

インターネットイニシアティブ(IIJ)は2019年7月9日、Web上で動くアプリケーションの保護に特化した「WAF(Web Application Firewall)」の機能をクラウドを介して提供する新サービスを始めると発表した。多様化するWebアプリケーションの脆弱性を突いた攻撃から企業のWebサイトを守る。 「IIJマネージドWAFサービス」... 続きを読む

WAFとHTTPリクエストスマグリング - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

2018/11/01 このエントリーをはてなブックマークに追加 10 users Instapaper Pocket Tweet Facebook Share Evernote Clip Scutum スキュータム WAFサービス クラウド型

HRSとは 2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。 https://bugs.php.net/bug.php?id=76582 日本語の情報源としては徳丸さんによるこちらの記事が参考になります。 この脆弱性は下記のように、HTTPリクエストヘッダ内に一見矛盾していたり、... 続きを読む

IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

2018/10/01 このエントリーをはてなブックマークに追加 33 users Instapaper Pocket Tweet Facebook Share Evernote Clip ウェブアプリ Scutum ウェブアプリケーション 筆者 攻撃

はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。 筆者は、あくまで個人... 続きを読む

あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 | Web担当者Forum

2018/07/11 このエントリーをはてなブックマークに追加 31 users Instapaper Pocket Tweet Facebook Share Evernote Clip 待ったなし サーバー ノウハウ ブロック Web担トップ

Web担トップ » あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効 SSLによる暗号化とWAFによるブロックでサーバーの安全性を高めよう 小山健治 2018/7/12(木) 7:00 Web担当者/仕事 | 解説/ノウハウ シェア0... 続きを読む

今となって後悔しているkamiのこと - Qiita

2017/12/20 このエントリーをはてなブックマークに追加 26 users Instapaper Pocket Tweet Facebook Share Evernote Clip kami モノリシック CONTEXT Rails Qiita

クリスマス期間になると喜ぶ人もいれば悲しむ人もいる。そんな極端な季節の中で、自分が作った guregu/kami というWAFについて真面目に考えた。 context の正しい使い方や、kamiのAPIで後悔していることを晒そう。 kamiを作ったきっかけ まずはkamiの歴史について簡単に説明する。GunosyでアプリのAPIサーバーをRailsからGoに少しずつ書き直していたが、モノリシックだ... 続きを読む

AWSでWAFを導入する理由と最適な選択 | Developers.IO

2017/12/07 このエントリーをはてなブックマークに追加 52 users Instapaper Pocket Tweet Facebook Share Evernote Clip PCI XSS対策 AWS Developers.IO 導入

はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、 なぜWAFを導入するのか を考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む

Apache HTTP Server向けのWebアプリケーションファイアウォール(WAF)「ModSecurity」を使ってみよう - さくらのナレッジ

2017/09/19 このエントリーをはてなブックマークに追加 72 users Instapaper Pocket Tweet Facebook Share Evernote Clip ModSecurity ナレッジ 未然 ソフトウェア 攻撃

WebサイトやWebアプリケーションのセキュリティを高めるツールの1つに、「Webアプリケーションファイアウォール(WAF)」と呼ばれるものがある。WAFはあらかじめ指定しておいたパターンに該当するリクエストをブロックすることで、脆弱性を狙う攻撃を未然に防ぐソフトウェアだ。今回はWAFの1つであり、Apache HTTP Serverと組み合わせて利用できる「ModSecurity」を紹介する。 ... 続きを読む

[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる | Developers.IO

2017/08/14 このエントリーをはてなブックマークに追加 11 users Instapaper Pocket Tweet Facebook Share Evernote Clip Application Firewall ASM 菊池 機能

[F5] Auto scaling the BIG-IP VE Web Application Firewall を試してみる Auto Scaling AWS特集 CloudFormation こんにちは、菊池です。 F5 BIG-IPには、Application Security Manager(ASM)のライセンスを有効化することで利用できる、WAFの機能があります。 この、WAF機能につい... 続きを読む

[新機能] AWS WAFでレートベースのルールが作成可能になりました [DDoS/Brute force対策] | Developers.IO

2017/06/22 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip DDoS Developers.IO DDoS攻撃 菊池 作成

こんにちは、菊池です。 本日(2017/6/22)AWS WAFの新機能が発表され、リクエストレートによるルールが作成可能になりました! Protect Web Sites & Services Using Rate-Based Rules for AWS WAF レートベースのルールを適用することで、同一IPアドレスからの大量リクエストをブロック可能になります。DDoS攻撃やブルートフォースアタ... 続きを読む

脆弱なWAF達で遊んでみた - とある診断員の備忘録

2017/04/08 このエントリーをはてなブックマークに追加 105 users Instapaper Pocket Tweet Facebook Share Evernote Clip 備忘録 Tools hasegawayosuke 診断員 話題

2017 - 04 - 08 脆弱なWAF達で遊んでみた 最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWA... 続きを読む

SiteGuard Lite(WAF)がStruts2の脆弱性S2-045,046に迅速に対応していた | Webセキュリティの小部屋

2017/04/03 このエントリーをはてなブックマークに追加 18 users Instapaper Pocket Tweet Facebook Share Evernote Clip piyolog SiteGuard Lite 脆弱性 小部屋

自分のサイトの WAF (Web Application Firewall) を SiteGuard Lite にしていたので、情報を調べていたところ、巷で問題になっている Struts 2 の脆弱性である S2-045、S2-046 に関する情報を見つけました。 piyolog さんの情報によると、S2-045 の情報が公開されたのは2017年3月7日時点とのことです。S2-046の公開は201... 続きを読む

Big Sky :: Re: Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる

2017/01/19 このエントリーをはてなブックマークに追加 70 users Instapaper Pocket Tweet Facebook Share Evernote Clip Webpack go-assets go-bindata

go-bindata もいいけど、go-assets もいいよ。 Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる - Diary Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる 個人的なアプリをつくるとき、だいたい以下のような環境で作業しています WAF は E.... 続きを読む

SELinux を使おう.使ってくれ. - Qiita

2016/12/21 このエントリーをはてなブックマークに追加 431 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita SELinux 邪魔者 config etc

この記事の目的 SELinux って邪魔者ですか? 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか? SELinux は理解さえすればとても簡単です. 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使い... 続きを読む

Goのアンチパターン - GolangRdyJp

2016/07/27 このエントリーをはてなブックマークに追加 421 users Instapaper Pocket Tweet Facebook Share Evernote Clip GolangRdyJp ラッパー 群雄割拠状態 LL言語

Go書いててなんとなく見えてきた Goでやっちゃいけないパターン WAF導入してらくらくWebアプリ WAF自体が現在群雄割拠状態。 WAF毎にハンドラインターフェースが違うので既存コードつなぐにはラッパーが必要。 どのWAFもLL言語に比べるとまだまだフィーチャーの網羅範囲が狭い。 なのでもちろんLL言語ほど楽には書けないことが多い。 リフレクション使いまくりでトータル性能はLL言語並みに遅いの... 続きを読む

 
(1 - 25 / 53件)
次の25件 »