Google Code Archive - Long-term storage for Google Code Project Hosting.Code Archive Skip to content Google About Google Privacy Terms
Apache HTTPD サーバの脆弱性を利用したDoS攻撃への対応(Scutum技術関連情報)| クラウド型WAFサービス Scutum【スキュータム】
Apache HTTPD サーバの脆弱性を利用したDoS攻撃に対応 WAF 『Scutum』は、Apache HTTPD サーバの脆弱性を利用したDoS攻撃への対応を完了しております。 2011.08.30 Apache HTTPD サーバの脆弱性について Apache HTTPD サーバに脆弱性が見つかっております。この脆弱性によりサービス運用妨害 (DoS) 攻撃を受ける可能性があります。 また本脆弱性に関連して、"Apache Killer" と呼ばれる攻撃ツールが公開されています。 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 【JVN】 Scutum の対応 WAF 「Scutum」 ではすでに本脆弱性の対応を完了しております。 Scutumをご利用いただいているWEBサイトにつきましては本脆弱性によるサービス運用妨害 (DoS) 攻撃を受ける可能性は
ImpervaがWAFを年額制のクラウドサービスとして提供
Imperva Japanは2011年10月4日、WAF(Webアプリケーションファイアウォール)機能をクラウド(SaaS)形式で提供するサービス「Imperva Cloud WAF」を提供開始した(写真)。国内価格は個別見積もり。 Imperva Cloud WAFは、SaaS型のWAFサービスである。同社が販売している既存のアプライアンス製品「SecureSphere WAF」をクラウド上に設置し、これを年額制のサービスとして提供する。24時間365日のサポートサービスが付属する。ユーザーは、DNS情報を書き換えてWebサイトのIPアドレスをImperva Cloud WAFに向けて利用する仕組み。 帯域とWebサイト数に応じて、3つの契約タイプを用意した。(1)「Imperva Cloud WAF 20」は帯域が20Mビット/秒で利用できるWebサイトの数が1。(2)「同50」は帯域
研究会 - 難読化されたJavaScript攻撃コードのWAFによる検出手法
2011-01-21 11:45 難読化されたJavaScript攻撃コードのWAFによる検出手法 ○松本悦宜(兵庫県立大)・満永拓邦・近藤伸明(神戸デジタル・ラボ)・力宗幸男(兵庫県立大) ICM2010-50 LOIS2010-61 JavaScriptコードをWebサイトに埋め込むクロスサイトスクリプティング(Cross Site Scripting : XSS)と呼ばれる攻撃手法により,Webサイトが改ざんされ,閲覧者がマルウェアをダウンロードさせられる事件が増加している.また近年では,難読化されたJavaScriptをWebサイト内の入力フォームに送信する事で脆弱性をつく攻撃も発見されている.この論文ではウェブアプリケーションファイヤーウォール(Web Application Firewall : WAF)を構築し,Webサーバへのリクエスト内の難読化されたJavaScriptを
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
アカマイが“クラウドベースのWAF”を実現、PCIDSS準拠ネットワークとして提供
アカマイ株式会社は5月20日、クラウドベースのWebアプリケーションファイアウォールモジュール(以下、WAFモジュール)を発表した。アカマイのサーバーネットワーク「EdgePlatform」上に実装されるWAFで、攻撃トラフィックがデータセンターに届く前に防御できるのが特長。これを利用して、クラウド上で安全なクレジットカード決済用ネットワークを提供する「PCIDSS完全準拠サービス」も、同日からスタートする。 WAFモジュールは、SQLインジェクションやクロスサイトスクリプティングなどのHTTP攻撃から、Webアプリケーションを防ぐためのセキュリティモジュール。世界中のアカマイネットワーク上に4万台分散されたサーバー群・EdgePlatform上に実装される。データセンター側に専用ハードウェアを設置しなくて済むほか、保守・運用もアカマイが行うため、ユーザーはWAFの運用コストを削減できる。
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
IPAがまとめたWAFの解説
cles::blog 平常心是道 blogs: cles::blog NP_cles() « Twitterのロゴ使用ガイドライン :: 脆弱性の原因となるプログラムの間違いランキング » 2010/02/18 IPAがまとめたWAFの解説 97 0へぇ IPAがWAFについて纏めた「Web Application Firewall 読本」を公開しています。 情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Journey Notes - Your guide to a safer path
サポート情報 | WebセキュリティのEGセキュアソリューションズ
Journey Notes - Your guide to a safer path
徳丸 浩 on Twitter: "承前)何を言いたいかというと、mod_securityのコンサルビジネスみたいなものが成立するかという観点で、使いにくいmod_securityにコンサルタント費用を払うくらいなら、使いやすい商用WAFを買うかSaaS型WAF契約した方がいいんじゃないというのが率直な感想"
徳丸 浩 on Twitter: "最近mod_securityへの関心が高くなっている。WAF読本を出しているIPA的には良いことなんだけど、WAF読本以外に日本語で読めるドキュメントがほとんどないのと、商用WAFの値段が安くなってSaaSタイプのWAFもあるので、mod_securityの立場は微妙だと思う"
株式会社アピリッツ|ECサイト構築・Webシステム開発
http://japan.internet.com/webtech/20100526/5.html
SmartWAF™ - Host-Based Web Application Firewall (WAF) as a web server plug-in - Armorize Technologies Inc.
WAF読本 | 水無月ばけらのえび日記
セキュリティ機器よもやま話。そしてなぜ、ワフ(WAF)は素人に好かれ玄人に嫌われるのか?
Category:OWASP Securing WebGoat using ModSecurity Project - OWASP
WAFでWebアプリの脆弱性を守れるか