タグ

関連タグで絞り込む (12)

タグの絞り込みを解除

wafとwebに関するflatbirdのブックマーク (11)

  • スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ

    コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 攻撃の約20%がAPIを標的に 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。 SNSなどか

    スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ

  • 狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは

    狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは:守りが薄いWebアプリケーション(3)(1/2 ページ) 当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。 連載:守りが薄いWebアプリケーション Webセキュリティの対策を検討する前に考えることとは? これからWebアプリケーションのセキュリティについて腰を入れて対策を始めようとしたときに、まずどこから手を付けようと考えるだろうか? 「現状の把握」「公開される脆弱(ぜいじ

    狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは

  • モダンなクラウド型WAF「ThreatX」が解消するファイアウォールの課題とは?

    クラウド時代のセキュリティ製品を国内で展開するパロンゴは、クラウド時代に向けた新世代WAF(Web Application Firewall)であるThereatXを日とAPACで展開する。既存のWAFの課題を解消するThreatXの概要について同社のケリー・ブラジル氏、マーク・ロトロ氏、パロンゴの近藤学氏に聞いた。 既存のWAFの限界を超えるコンテナベースのWAF 2014年にテキサスのオースティンで設立されたThreatXは、BMCでセキュリティを担当していた2人が起業したスタートアップになる。最新の攻撃に対応できない既存のWAFをリプレースすべく、新世代ファイアウォールを開発した。 BMCでセキュリティを担当していた経歴を持つ創業者が描いていたのは、従来型WAFの課題を解消することだ。Webアプリケーションに対する標的型攻撃を防御するWAFだが、シグネチャ設定が固定的で、最新の攻撃

    モダンなクラウド型WAF「ThreatX」が解消するファイアウォールの課題とは?

  • WAFに関する本音が飛び交った「F5 Security Real Talk Day」

    11月17日、F5ネットワークスジャパンはセキュリティに関する音トークを楽しむイベント「F5 Security Real Talk Day」を開催。最終パネルディスカッションには、アスキー編集部の大谷イビサがモデレータとして登壇し、ゲストとともにWAF(Web Application Firewall)にまつわる音トークを展開した。 ユーザー、パートナー、ベンダーが音を語りあう 「F5 Security Real Talk Day」は「Real Talk」という名前の通り、ベンダーやSIerの押し売りトークとは異なる生々しい話をユーザーに楽しんでもらおうという趣旨で開催されたセキュリティイベント。100名の会場は満員となり、音を聞きたいという参加者の関心がうかがえた。 そんなイベントの最終セッションになったのが、「WAFのホントの所、言いたい放題 『で、どのWAFが良いの?』」とい

    WAFに関する本音が飛び交った「F5 Security Real Talk Day」

  • 脆弱なWAF達で遊んでみた - とある診断員の備忘録

    最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWAF達で遊んでみたら非常に面白かったので、このブログでちょっとご紹介したいと思います。 脆弱なWAFとは? そもそも、「脆弱なWAF」とは一体なんなのでしょうか?一般的なWAF(Web Application Firewall)は、Webサイトの脆弱性を悪用した攻撃から、Webサイトを保護するためのセキュリティ対策の一つです。 通常は守りたいWebサイトの通信経路上の前面に配置するような構成をとります。例えWebサイトに脆弱性が存在したとしても、前面のWA

    脆弱なWAF達で遊んでみた - とある診断員の備忘録

  • AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy

    最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS

    AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy

  • Go製WAFのuconを触ってみた - Qiita

    仕事で使うことになったので触ってみました。 とりあえず基機能だけです。 https://github.com/favclip/ucon まとめ handlerの引数はBubble.Argumentsに設定されているものが使用される handlerの型がinterface{}なので気をつけよう reflectの知識が前提なのでreflect好きな人向け 私みたいな一般人は大人しくGin,Echo,Beegoあたりを使うのがいいかも 基 package main import ( "net/http" "github.com/favclip/ucon" ) func init() { // register middleware ucon.Middleware(ucon.HTTPRWDI()) ucon.HandleFunc("GET", "/hello", getHello) http.

    Go製WAFのuconを触ってみた - Qiita

  • 「HeartbleedもShellShockもPOODLEもWAFでまとめて止められる」F5がデモ

    Heartbleed(OpenSSLの脆弱性)、ShellShock(GNU Bashの脆弱性)、POODLE Bites(SSL3.0の脆弱性)など、2014年に入って立て続けにWebサーバーを脅かす深刻な脆弱性が見つかっている。こうした脆弱性に対抗するには「パッチの適用」がベストだが、脆弱性が見つかってからすぐにパッチが出るとは限らないし、稼働中のシステムに対して即座にパッチを適用するのが難しいケースもよくある。 そんなWebサーバー管理者の悩みに対して、一つの解となるのがWAF(Web Application Firewall)の導入だ。WAFを導入することにより、Webサーバー自体に脆弱性が残っていても手前で攻撃を見つけて止められる。実際にどれくらい効果があるものなのか、2014年10月29日から31日まで幕張メッセで開催された「第5回情報セキュリティEXPO」において、F5ネット

    「HeartbleedもShellShockもPOODLEもWAFでまとめて止められる」F5がデモ

  • シマンテックに聞く、相次ぐWebアプリの脆弱性対策 | RBB TODAY

    アプリケーションの脆弱性が相次いで発見され、ネットや新聞などのメディアで大きく取り上げられている。 脆弱性対策に追われる現状から脱却するソリューションとして、注目を集めているのが導入や運用が容易な「クラウド型WAF」だ。今回は、ウェブセキュリティのスペシャリストとしてクラウド型WAFを提供しているシマンテック・ウェブサイトセキュリティのTrust Services プロダクトマーケティング部 上席部長の安達徹也氏に、クラウド型WAFについて2回にわたり話を聞いた。 ―― WAFが注目されている背景について教えてください。 標的型攻撃をはじめとする、企業を狙うサイバー攻撃が増加しています。また、その攻撃対象は従来の大企業から中堅・中小企業にシフトしています。中堅・中小企業は、大企業の関連会社であったり下請け会社であったりするケースが多いので、セキュリティ対策の不十分なところを攻撃して、丸で

    シマンテックに聞く、相次ぐWebアプリの脆弱性対策 | RBB TODAY
    flatbird
    flatbird 2014/06/11
    WAFの普及が進まない理由は? - Webアプリケーションのセキュリティ対策のためにWAFを検討するケースは多いのですが、高価であることと運用負荷が高いことから導入を見送られてしまうのです
    リンク

  • ベイジアンネットワークを使ったウェブ侵入検知

    はじめに 私たちが提供しているSaaS型のWAFサービス、Scutum(スキュータム)では、より高精度な攻撃検知を実現するために、ベイジアンネットワークの技術を利用しています。今回は「ウェブセキュリティ」「不正検知」「異常検知」「攻撃検知」といった観点から、ベイジアンネットワークについて解説します。 ベイジアンネットワークとは? ウィキペディアによると、ベイジアンネットワークは次のようなものです。 ベイジアンネットワーク(英: Bayesian network)は、因果関係を確率により記述するグラフィカルモデルの1つで、複雑な因果関係の推論を有向グラフ構造により表すとともに、個々の変数の関係を条件つき確率で表す確率推論のモデルである。 非常に的を射た説明ですが、「わかっている人にはわかるし、わかっていない人にはわからない」という感じもするかもしれません。基からしっかり理解したいという場合

    ベイジアンネットワークを使ったウェブ侵入検知

  • Two open source web application firewalls announced - The H Security: News and Features

    At the RSA Conference, two companies, Qualys and art of defence, have each announced their own open source, cloud-based web application firewalls (WAF). WAFs examine http traffic rather than the traditional IP packets, in order to evaluate the movement of data and code. This could trap, for example, cross site scripting attacks, embedded JavaScript based attacks or request forgery; a WAF could the

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.