AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ？ - カミナシ エンジニアブログ

2024/10/01 86 users カミナシ AWS WAF エンジニアブログ 西川 ポケモン

どうも Security Engineering の西川です。好きなポケモンはクワッスです。カミナシ社内に遂にポケモンカード部ができまして、部員同士切磋琢磨し始めています。いつか企業対抗ポケモンカード大会をするのが夢です。 さてさて、皆さんは AWS WAF（Web Application Firewall、以下 WAF）を使っていますか？サービスに WAF... 続きを読む

[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO

2024/07/11 92 users DevelopersIO DDoS攻撃 beco_minn

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対... 続きを読む

AWS WAF について最初から知りたかったこと8選 - ISID テックブログ

2023/10/23 242 users AWS WAF ISID テックブログ 最初 AWS クロス

こんにちは。X（クロス）イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思っ... 続きを読む

Log4jで話題になったWAFの回避/難読化とは何か

2021/12/16 282 users Twitter CVE-2021-44228 超弩級 回避

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ！... 続きを読む

AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ ｜ Developers.IO

2020/03/04 218 users 臼田 Developers.IO AWS WAF 挨拶 基礎

こんにちは、臼田です。 皆さん、WAFWAFしてますか？(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ？という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中... 続きを読む

AWS再入門2019 AWS WAF編 ｜ Developers.IO

2019/11/19 80 users Developers.IO 知見 悪意 トピック 動作

AWS再入門2019AWS WAF編ということで、AWS WAFの知見を共有したいと思います。主なトピックは以下の通りです。 WAF全般のこと AWS WAFの基本 AWS WAFマネージドルール WafCharm WAF全般のこと WAFに期待される主な働きは、悪意のある通信をブロックし、悪意のない通信を許可することです。実際に可能な動作は、通信がWAF... 続きを読む

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog

2019/08/05 426 users piyolog SSRF SSRF攻撃 攻撃 不正アクセス

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery（SSRF）攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the... 続きを読む

AWSでWAFを導入する理由と最適な選択 ｜ Developers.IO

2017/12/07 52 users PCI XSS対策 AWS Developers.IO 導入

はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、 なぜWAFを導入するのか を考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む

Apache HTTP Server向けのWebアプリケーションファイアウォール（WAF）「ModSecurity」を使ってみよう - さくらのナレッジ

2017/09/19 72 users ModSecurity ナレッジ 未然 ソフトウェア 攻撃

WebサイトやWebアプリケーションのセキュリティを高めるツールの1つに、「Webアプリケーションファイアウォール（WAF）」と呼ばれるものがある。WAFはあらかじめ指定しておいたパターンに該当するリクエストをブロックすることで、脆弱性を狙う攻撃を未然に防ぐソフトウェアだ。今回はWAFの1つであり、Apache HTTP Serverと組み合わせて利用できる「ModSecurity」を紹介する。 ... 続きを読む

脆弱なWAF達で遊んでみた - とある診断員の備忘録

2017/04/08 105 users 備忘録 Tools hasegawayosuke 診断員 話題

2017 - 04 - 08 脆弱なWAF達で遊んでみた 最近、二つの脆弱なWAFが公開されました！ Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷（ごく一部かな？ｗ）で話題のこの脆弱なWA... 続きを読む

Big Sky :: Re: Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる

2017/01/19 70 users Webpack go-assets go-bindata

go-bindata もいいけど、go-assets もいいよ。 Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる - Diary Go でシングルバイナリな Web アプリを開発しているときに webpack --watch をうまいところやる 個人的なアプリをつくるとき、だいたい以下のような環境で作業しています WAF は E.... 続きを読む

SELinux を使おう．使ってくれ． - Qiita

2016/12/21 431 users Qiita SELinux 邪魔者 config etc

この記事の目的 SELinux って邪魔者ですか？ 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか？ SELinux は理解さえすればとても簡単です． 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使い... 続きを読む

Goのアンチパターン - GolangRdyJp

2016/07/27 421 users GolangRdyJp ラッパー 群雄割拠状態 LL言語

Go書いててなんとなく見えてきた Goでやっちゃいけないパターン WAF導入してらくらくWebアプリ WAF自体が現在群雄割拠状態。 WAF毎にハンドラインターフェースが違うので既存コードつなぐにはラッパーが必要。 どのWAFもLL言語に比べるとまだまだフィーチャーの網羅範囲が狭い。 なのでもちろんLL言語ほど楽には書けないことが多い。 リフレクション使いまくりでトータル性能はLL言語並みに遅いの... 続きを読む

徳丸浩氏との長年の議論に終止符 – 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

2015/02/15 168 users 終止符 徳丸浩氏 yohgaki's blog 議論 長年

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格／ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF（Web Application Firewall）... 続きを読む

Big Sky :: 慣れたら簡単！golang の便利な和製 WAF、「kocha」

2014/10/22 67 users naoina golang SPA WIKI Big Sky

昨日は naoina さんの genmai を使って wiki を書きましたが、今日は同じく naoina さんが開発している kocha を使って簡単な SPA アプリを書いてみたいと思います。 Kocha web application framework for Go A convenient web application framework for Go http://naoina.gi... 続きを読む

Big Sky :: golang で最近お気に入りの WAF「Goji」

2014/10/21 194 users golang Goji Big Sky

Web アプリケーションを書くときは今までずっと 小さい物は web.go 大きい物は net/http というスタンスを何故か貫いて来たんだけど、最近ようやく web.go をやめて goji を使う様になった。 Goji A web microframework for Golang https://goji.io/ 理由としては Sinatra ライクでありながら高度な正規表現マッチも使える... 続きを読む

これから始める人のためのNginx（3）：NginxをWebサーバー“以外”でも徹底活用する (1/4) - ＠IT

2014/09/18 297 users nginx ロードバランサー Webアプリケ Webサーバー

Nginxは高速化だけではありません。Webサーバー以外への応用事例として、ロードバランサー、HTTPS対応、WAFとしての利用を紹介します。 連載目次 Nginxの活用 「高速・軽量・高機能WebサーバーのNginx」連載の最終回にあたり、今回はNginxのWebサーバー以外の活用方法を紹介します。 NginxはWebサーバー以外にも、ロードバランサーやHTTPSサーバー、WAF（Webアプリケ... 続きを読む

PHPのオレオレスタックの話 - uzullaがブログ

2014/01/02 144 users uzulla テンプレートエンジン ヘルパ Selenium

2014-01-02 PHPのオレオレスタックの話 php ここ半年くらい、PHPのオレオレスタックを見直しています。 まあ、こういうのは本来日々見直していく物なんですけど、新年だし。 ちょっと前までは ・WAF：Limonade ・テンプレートエンジン：素PHP+Limonade＋オレオレヘルパ ・DBまわり：PDO＋オレオレORM ・テスト：Selenium（ウッ頭が… ・ライブラリ管理：秘伝... 続きを読む

Mojoliciousでエラー時に特別な処理をさせる - ゆーすけべー日記

2013/07/18 749 users Mojolicious templates 常套手段 ござ

たまたま、こんな感じのツイートを見かけたので... Mojoliciousで404、500等のWAFで用意されている標準画面を出さないようにする方法を知りたいのですがどなたか教えて頂く事はできますでしょうか 僕の返答 templates/not_found.html.ep とかにテンプレート置いておくとそれがrenderされるようになりますよー っていうのが常套手段なんだけど... ありがとうござ... 続きを読む

ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

2012/12/30 219 users ウェブアプリケーションファイアウォール ロリポップ 誤検知

2012年12月30日日曜日 ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF（ウェブアプリケーションファイアウォール）を導入いたしました ロリポップ！レンタルサーバーはWAF標準装備です。 http://lolipop.jp/... 続きを読む

MojoliciousでとCPANモジュールで作る「Nopaste」チュートリアル - ゆーすけべー日記

2012/06/27 79 users Mojolicious NoPaste CPANモジュール

僕はWebアプリの開発言語にPerlを使っていますが、Perlで書くためのWeb Application Frameworkとして、 Mojoliciousを最近では利用しています。 Web Application Framework（WAF）とは、 Webアプリケーションの開発を効率的に行うためのライブラリ群（つまりフレームワーク）で、これがなければ少しでも大きめのアプリになると大変な思いをしま... 続きを読む

PerlのWAFはMojolicious推しな件とそのノウハウ - ゆーすけべー日記

2012/02/24 101 users Perler perl エントリ ゆーすけべー日記 ノウハウ

Perlerな皆さん！WAFは何を使っていますかー！？ 昨日行われたという「Perl Beginners #1」のレポートを漁っていると @hsksyuskさんのエントリにこう書かれていましたので僕もつい乗っかってみたくなりました。 PerlのWAFは何がいいの？ @ytnobodyさんはKossy推し。 僕はAmon2推し。 ぼ、ぼ、ぼ、僕はMojolicious推し！！！ ということでなぜ僕が... 続きを読む

GIGAZINE - トラックバックスパムよけにも使える「mod_security」

2006/07/13 157 users GIGAZINE https ヘッダ フィルタリング セキュア

Apacheをセキュアにするモジュールで「mod_security」というのがあるそうで。いわゆるWeb Application Firewall (WAF)というものに分類される仕組みなのですが、非常に機能が強力。ヘッダ、GET、POST、レスポンスを含むINとOUTの全リクエスト（HTTPS含む）に対してフィルタリング可能。通常では記録されないPOSTのログも記録可能。 で、この機能を使えばト... 続きを読む