AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ? - カミナシ エンジニアブログ
どうも Security Engineering の西川です。好きなポケモンはクワッスです。カミナシ社内に遂にポケモンカード部ができまして、部員同士切磋琢磨し始めています。いつか企業対抗ポケモンカード大会をするのが夢です。 さてさて、皆さんは AWS WAF(Web Application Firewall、以下 WAF)を使っていますか?サービスに WAF を導入する際は一定期間 COUNT モードで運用することがセオリーとされています。では、COUNT モードから BLOCK モードに切り替える時に何をもって BLOCK モードへの切り替えを判断していますか? 本記事はつい先日リリースされたカミナシ従業員というサービスを開発しているメンバーから「WAF(Web Application Firewall) を COUNT モードで動かして一定期間経ったのだけど、どのルールを BLOCK
メンテナンス画面の表示方法いろいろ | 外道父の匠
コンテナの話(AWSコンテナ系アーキテクチャの選択肢を最適化する)をした時にメンテナンス画面の表示についても軽く触れました。 改めて整理すると他にもいろいろあるということで、上から順に超ザックリと並べていきたいと思います。一応 AWS でを想定していますが、一般的な方法論でもあるので、どこだろうと何かしらの足しにはなるかもです。 条件 どのようなメンテナンス状態にしたいかによりますが、満たすべき条件はおそらくこのようなものがありますよ、ということで整理します。 1回の変更操作で、一括したメンテインを保証すること 管理者はメンテにならず通常アクセスする手段があること メンテ機能の仕込みによって悪影響がないこと 希望するメンテ用レスポンス内容を実現可能であること 静的 or 動的 Status Code 503 Content-Type レスポンス・サイズ 例えば DNS のレコード値を変更し
“脆弱性を突くような攻撃を防ぐ”だけではない「WAF」 「AWS WAF」の運用で現場が抱える課題
WAFで困るのは「直して」と言えないこと 清野隼史氏(以下、清野):ここからはもうちょっと現場レベルまで踏み込んでいきます。その中でも特にWAFのところにフォーカスをしてエピソードを聞きたいなと思います。このトピックでは、AWSの運用で現場が抱えている課題みたいなところを聞きたいなと思っています。こちらも佐竹さんに聞いてもいいですか? 佐竹陽一氏(以下、佐竹):はい。「AWS WAF」もしくは「WafCharm」を使っているという視点で話します。先ほど臼田さんが「Security Hubを使っている方」というアンケートをして、半分ぐらいの方が手を挙げられたことに「そんなにいるの!?」とむしろちょっとビックリしています(笑)。 (一同笑) 「意識高!!」と思ったんですけど(笑)。こういう課題は、もしかしたら現場の方も持っていると思います。 セッションの1個目のところでBookLiveさんが「
セキュリティ強化して弊社は万全だ!と思っていたら数年後に事件が起きてしまった話→なんという金の無駄…
たか@コールセンター担当 @ta_ka159R9 自作PC関連・DIY家具・EOS M6 Mark2・アニメ(銀英/新作系・SF系)・ゲーム(PCオンライン系/FF14)ついて適当につぶやきます。また、重度の妹病を発動することありw 一応、元留学生で既婚の社会人(どっかの会社の社内SE)です~。比較的、五月蠅いかも? たか@IT土方 @ta_ka159R9 弊社で起きた事・・。 ①WAFを導入!セキュリティーも万全! ②数年後・・アタック発生!WAF入れていなかった? ③WAFから危険だから修正しろと言うアラートが何年も前から表示されていたらしい? ④そのアラートをもとに対応する人もログを監視するチームもありませんでした! ⑤社長ガチギレ!
Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 関連記事 最終的にDDoS攻撃に効果を発揮した設定を下記記事で紹介しています。 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われ
正規表現ミスって一晩誰もサービスにログインできなくしてしまった話 - Qiita
はじめに この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023の11日目です。 どうも、@_tinojiと申します。実に4年ぶりにアドベントカレンダーに参加しました。 正規表現で1文字消し忘れて、なんぴとたりともサービスにログインできない状態にしてしまったという話をします。正規表現にはまじで気をつけましょうという教訓になれば・・・ 犠牲となったログイン画面 とあるtoBなWebサービスを開発していたときの話です。法人のユーザーが使う管理画面的なイメージです。 当然ログイン機能があって、至って普通なログインなのですが1つだけ特徴がありまして、ログイン画面のURLをアカウントごとに変えています。https://example.com/<uuid>/loginみたいな感じですね。 あまり見ない形式ではありつつも、個別のUUIDを特定されない限りログイン画面に対し
AWS WAF について最初から知りたかったこと8選 - 電通総研 テックブログ
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思ったことがあるので 8つご紹介します。 AWS WAF の基本については分かっている前提で、特に説明はいたしません。また2023年10月現在の最新バージョンである、いわゆる「AWS WAF v2」を対象としています。 その1: AWS マネージドルールのボディサイズ制限が厳しい その2: ファイルアップロードが AWS マネージドルールの XSS に引っかかることがある その3: マネージドルールにはバージョンがある その4: CloudWatch Logs
AWS WAF ベーシックな設定について - Qiita
AWS WAF(Web Application Firewall)は、Amazon Web Services(AWS)が提供するウェブアプリケーションファイアウォールサービスです。このサービスは、ウェブアプリケーションを悪意のあるトラフィックや攻撃から保護するためのものです。 AWS WAFとは? AWS WAFは、ウェブアプリケーションやAPIに対する一般的なウェブ攻撃を検出し、ブロックするためのサービスです。これにより、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を防ぐことができます。 AWS WAFのメリット カスタマイズ可能: AWS WAFは、特定のトラフィックパターンや攻撃を検出・ブロックするためのカスタムルールを設定することができます。 リアルタイムのモニタリング: AWS WAFは、リアルタイムでのトラフィックの監視とログの取得が可能です。 スケ
WAFを活用する上で入れておきたいファイアウォールのルール定義 - STORES Product Blog
プロダクト基盤本部の藤原です。 本エントリではWAF(Web Application Firewall)を活用していく上で、最初に導入をお勧めするファイアウォールルールを解説します。 WAFとは WAF(Web Application Firewall)とはWebアプリケーションに特化したファイアウォールです。 HTTPリクエストのヘッダやボディの内容から不審なリクエストを判別し、アクセスをブロックすることを目的としています(図1)。 図1 WAFの役割 WAFの活用を通じて実現したいこと WAFの活用を通じて実現したいことはなんでしょうか。 悪意のあるリクエストや不審なリクエストからアプリケーションを保護することでしょう。 不審なリクエストとしては、宛先が合っていないリクエスト(HTTPのホストヘッダを誤っている)1や、スクリプトキディ的なものから攻撃対象を精緻に分析したものまでさまざま
AWS WAF 導入時に考えた5つのこと
はじめに 先日新たにAWS WAFを導入をする機会があり、その際に改めて知ったWAFの知見について、より実用的な項目に絞ってまとめてみました。 いまや非常に多くの種類があるWAFルールの情報や、マネージドルールの便利さについて言及された技術ブログはよく見かけます。しかし導入時の設定内容のポイントや、「そもそも何を検討すべきか?」をまとめた記事は多くないと感じていたため、自分で書くことにしました。 ※ 以降ではすべてAWS WAFv2を想定した話であり、v2を省略してAWS WAFと書いています。 1. WAFルール・ルールグループの選択 AWS WAFの導入時に最初に考えることとして、ルールの選定や紐付けるリソース、動作モード、ログ出力などがあります。 ルールの選定は、つまるところ 「WAFで何がしたいのか?」 を決定することに等しく、多数のルールグループの中から、最適な複数のルールグルー
高度なボットトラフィックの検出とブロック | Amazon Web Services
Amazon Web Services ブログ 高度なボットトラフィックの検出とブロック 本稿は Etienne Munnich によるブログ Detect and block advanced bot traffic を翻訳したものです。翻訳はソリューションアーキテクト 森が担当しました。 ボットと呼ばれる自動化されたスクリプトは、モバイルアプリケーション、Web サイトや API に大量のトラフィックを発生させる可能性があります。商品の在庫状況や価格など、ウェブサイトのコンテンツをターゲットにしたボットも存在します。 標的型ボットのトラフィックは、需要の高い在庫へのウェブサイトアクセスをめぐって、正規のユーザートラフィックと競合することでユーザー体験を低下させ、不正取引によるチャージバックでビジネスリスクを高め、インフラコストを増大させる可能性があります。 2021年に AWS は A
AWS WAF のログ分析に関する考慮事項 | Amazon Web Services
Amazon Web Services ブログ AWS WAF のログ分析に関する考慮事項 2022年11月 アップデート: マネージドルールグループ内のルールに個別に Action を設定できるようになりました。その結果、 “EXCLUDED_AS_COUNT” ではなく “COUNT” としてログ出力できるようになりました。 新たなルールの Action として、Challenge が追加されました。 本記事は、2022年11月のアップデート以前のログの仕様に基づいています。最新の情報はデベロッパーガイドを参照ください この投稿では、AWS ウェブアプリケーションファイアウォール (AWS WAF) を初めて利用される方が 、ログ分析にあたって考慮すべき事項について説明します。 WAF のログは、攻撃検知の分析やチューニングには欠かせないものです。ログの分析ではウェブ ACL に設定し
Amazon Cognito enables native support for AWS WAF
You can now enable AWS WAF protections for Amazon Cognito, making it even easier to protect Amazon Cognito user pools and hosted UI from common web exploits. Amazon Cognito is a service that makes it easy to add authentication, authorization, and user management to your web and mobile apps. Amazon Cognito provides authentication for applications with millions of users and supports sign-in with soc
AWS WAF を急に導入することになったときに参考にした資料まとめ | DevelopersIO
急ぎのご依頼で AWS WAF の導入を支援をする機会がありました。本当に急な話だったので準備する時間もなく必要な設定の資料を都度見繕っていたので、また急に依頼されたときに備えて今回の対応で必要だった資料をまとめます。 AWS WAF を急に設定することになったあなたへ向けの記事です。 応急処置として以下の構成に AWS WAF を急遽導入することになったときのお話です。 2023/3/8追記 非常に良い記事でしたので紹介します。こちらもご覧ください。 状況と対応内容 Webサイトに不正なアクセスを受けていることがわかり、AWS WAF を導入して急場を凌ぎたい。 WordPress が起動している(Webサイトを提供しているサービス) 不正なアクセスはCloudFront経由と、Classic Load Blancerから直接の2パターン確認されている Classic Load Blan
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
Log4jの脆弱性を緩和するAWS WAFをCloudFormationで設定してみた | DevelopersIO
AWSのマネージドルールを利用して Log4jの脆弱性(CVE-2021-44228)を緩和するAWS WAFを、CloudFormatinで作成してみました。 AWSチームのすずきです。 Log4jの脆弱性を緩和するため、AWSのマネージドルールに含まれる「Log4JRCE」のみ利用するAWS WAF、 CloudFormatinで設置する機会がありましたので紹介させて頂きます。 WAF設定 WebACL ELB(ALB)の保護で利用するため、「Scope: REGIONAL」としました。 AWSのマネージドルール「AWSManagedRulesKnownBadInputsRuleSet」の最新バージョンを利用する指定を行いました。 誤検知による副作用を最小化するため、「Log4JRCE」以外のルールに該当したリクエストは受け入れる除外設定を行いました。 WebACL: Type: AW
Lambda サブスクリプションフィルター + AWS WAF で実現する「フルリモートワーク時代のお手軽社内サイト」 - Qiita
本記事は AWS LambdaとServerless Advent Calendar 2021 の4日目です。 たまたま空きがあることに気付いたため、せっかくでしたらと急遽参加させていただきます! よろしくお願いいたします 🙇 こんにちは。Togetter を運営しているトゥギャッター株式会社でエンジニアをしている @MintoAoyama です。 Togetter はツイートを始めとした様々な情報を組み合わせてコンテンツを作り出すキュレーションサービスです。 2009年に誕生してから今年で13年目に突入し、現在も月間PV約1億、月間UU約1500万という規模感で成長を続けています。 そんなトゥギャッター社もコロナ禍に入り、全従業員がフルリモートワーク体制に移行しました。 もっとも、以前からリモートワークは実施されていました。オフィスは東京ですが地方からフルリモートで出勤されているメンバ
AWS WAF の検知結果を Slack 通知して誤検知に対処しよう
Leaner 開発チームの黒曜(@kokuyouwind)です。 先日会社のポッドキャストでこくぼさんと一緒にお話させていただきました。 ポッドキャストは初体験なのでドキドキしながら収録しましたが、評判が良いようで嬉しいです。 AWS WAF について (>ω<)わふー! みなさん AWS WAF は使っているでしょうか? Web アプリケーションは HTTP ポートをインターネットに露出しているため、 SQL インジェクションやファイル読み出しなど様々な攻撃に晒されてしまいます。 SSH ポートなどはそもそもインターネットから到達できないようセキュリティグループで制限すればよいのですが、 Web アプリケーションは不特定多数から HTTP リクエストを受けるのが仕事なので、アクセスを弾くわけにもいきません。 こうした攻撃を防ぐのが WAF(Web Application Firewall
ApacheのパストラバーサルをWAFでゼロデイ防御できたのは何故か
はじめに 世界的に知られているウェブサーバ実装のApache HTTP Serverがパストラバーサルの脆弱性を出してしまいました。しかも最初に発見されたCVE-2021-41773だけでなく、すぐに別のパストラバーサル脆弱性CVE-2021-42013も見つかり、わずか数日という短い期間において2度のバージョンアップが行われるという慌ただしい状況になりました。今回はこのApacheの脆弱性と、それに対してScutumがどのように対応できたかについて簡単にご紹介します。 ゼロデイ防御に成功 Scutumはクラウド型WAFとして、パストラバーサルへの攻撃を防ぐことを1つの目的にしています。そして今回Apacheに見つかった2つの脆弱性については、どちらもゼロデイで(脆弱性が発見されるよりもはるか昔から)防御ができる状態でした。そもそもこのような攻撃を想定した防御機能を展開していたためです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS WAFが不正管理としてAccount Takeover Protectionを導入
