Code Archive Skip to content Google About Google Privacy Terms
Apache HTTPD サーバの脆弱性を利用したDoS攻撃に対応 WAF 『Scutum』は、Apache HTTPD サーバの脆弱性を利用したDoS攻撃への対応を完了しております。 2011.08.30 Apache HTTPD サーバの脆弱性について Apache HTTPD サーバに脆弱性が見つかっております。この脆弱性によりサービス運用妨害 (DoS) 攻撃を受ける可能性があります。 また本脆弱性に関連して、"Apache Killer" と呼ばれる攻撃ツールが公開されています。 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 【JVN】 Scutum の対応 WAF 「Scutum」 ではすでに本脆弱性の対応を完了しております。 Scutumをご利用いただいているWEBサイトにつきましては本脆弱性によるサービス運用妨害 (DoS) 攻撃を受ける可能性は
Imperva Japanは2011年10月4日、WAF(Webアプリケーションファイアウォール)機能をクラウド(SaaS)形式で提供するサービス「Imperva Cloud WAF」を提供開始した(写真)。国内価格は個別見積もり。 Imperva Cloud WAFは、SaaS型のWAFサービスである。同社が販売している既存のアプライアンス製品「SecureSphere WAF」をクラウド上に設置し、これを年額制のサービスとして提供する。24時間365日のサポートサービスが付属する。ユーザーは、DNS情報を書き換えてWebサイトのIPアドレスをImperva Cloud WAFに向けて利用する仕組み。 帯域とWebサイト数に応じて、3つの契約タイプを用意した。(1)「Imperva Cloud WAF 20」は帯域が20Mビット/秒で利用できるWebサイトの数が1。(2)「同50」は帯域
2011-01-21 11:45 難読化されたJavaScript攻撃コードのWAFによる検出手法 ○松本悦宜(兵庫県立大)・満永拓邦・近藤伸明(神戸デジタル・ラボ)・力宗幸男(兵庫県立大) ICM2010-50 LOIS2010-61 JavaScriptコードをWebサイトに埋め込むクロスサイトスクリプティング(Cross Site Scripting : XSS)と呼ばれる攻撃手法により,Webサイトが改ざんされ,閲覧者がマルウェアをダウンロードさせられる事件が増加している.また近年では,難読化されたJavaScriptをWebサイト内の入力フォームに送信する事で脆弱性をつく攻撃も発見されている.この論文ではウェブアプリケーションファイヤーウォール(Web Application Firewall : WAF)を構築し,Webサーバへのリクエスト内の難読化されたJavaScriptを
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
アカマイ株式会社は5月20日、クラウドベースのWebアプリケーションファイアウォールモジュール(以下、WAFモジュール)を発表した。アカマイのサーバーネットワーク「EdgePlatform」上に実装されるWAFで、攻撃トラフィックがデータセンターに届く前に防御できるのが特長。これを利用して、クラウド上で安全なクレジットカード決済用ネットワークを提供する「PCIDSS完全準拠サービス」も、同日からスタートする。 WAFモジュールは、SQLインジェクションやクロスサイトスクリプティングなどのHTTP攻撃から、Webアプリケーションを防ぐためのセキュリティモジュール。世界中のアカマイネットワーク上に4万台分散されたサーバー群・EdgePlatform上に実装される。データセンター側に専用ハードウェアを設置しなくて済むほか、保守・運用もアカマイが行うため、ユーザーはWAFの運用コストを削減できる。
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
cles::blog 平常心是道 blogs: cles::blog NP_cles() « Twitterのロゴ使用ガイドライン :: 脆弱性の原因となるプログラムの間違いランキング » 2010/02/18 IPAがまとめたWAFの解説 97 0へぇ IPAがWAFについて纏めた「Web Application Firewall 読本」を公開しています。 情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く