mod_securityでWebサーバを守る(第1回)

一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは

[niseissa]

WAS

[matsutakegohan1]

いうてもブラックリストなので、これ＋バインド機能とか、これ＋エスケープとか大事

[py0n]

Web Application Firewall (WAF)の一つmod_securityを解説してゐる。

[PoohKid]

わっふるわっふる

[webmarksjp]

*セキュリティ

[terazzo]

POSTの内容を記録するのに使えるらしい

[sumipan]

セキュリティの社内監査体制が必要

[bonnaroo]

ログをいろいろ残せたりする

[agx]

apacheでのセキュリティ

[kazy]

こんなのあったのね。良さげ。

[kojit]

使えそうだ！

[hiro_y]

mod_securityについて、詳しく。

[helldeath]

不正アクセスをapacheで防ぐ

[akahigeg]

未読

[hi-rocks]

（未読）自分レベルが直接関わることはなさそうだが、知識として知っておきたいところ。

[yupo5656]

WAF

[hidehish]

mod_security

[stealthinu]

お、mod_securityについての解説だ。注目。

[koyhoge]

Web Application Firewallのapache module。本格的に使うのはちと難しそう