オリジンIPの特定によるクラウド型WAFのバイパス
オリジンIPの特定によるクラウド型WAFのバイパス May 27, 2019 昨年末に「How i was able to pwned application by Bypassing Cloudflare WAF」を読んで、CloudflareのWAFをバイパスする方法とそれがバグバウンティで認定された事例を知った。記事を書いた@vis_hacker氏は調査に「CloudFlair」というツールを使用しており、このツールを開発した@christophetd氏も同様の方法で報奨金を獲得していた¹。 Cloudflareに限らずクラウド型WAFのバイパスは2016年頃には既に話題になっており、論文も書かれていた²。2013年のBlackHat USAではDDoS保護のバイパスとして発表され³、DDoS保護サービスを提供するベンダーが注意喚起を行なっている⁴ ⁵。脆弱性として興味深かったので詳
IPA-WebApplicationFirewall(WAF)読本改訂第2版.pdf
Web Application Firewall を理解するための手引き Web Application Firewall を理解するための手引き 2011 年 12 月 Web Application Firewall (WAF) 読本 改訂第2版 本書は、以下の URL からダウンロードできます。 「Web Application Firewall(WAF)読本」 http://www.ipa.go.jp/security/vuln/waf.html 1 目次 目次................................................................................................................................................... 1 はじめに ........
WAF(Web Application Firewall)でWebサイトを脆弱性から守る : アジャイル株式会社
はじめに 現在多くのWebサイトで、多数のWebアプリケーションが利用されています。 Webアプリケーションを作成する上では脆弱性を持たないように、セキュア・プログラミングを行うのが原則ですが、脆弱性に対する攻撃方法は日々進化しており、これら攻撃全てに対応するのは困難な場合も多いです。 Webアプリケーションに脆弱性が発見された場合、Webアプリケーションを改修して問題を修正するのが根本的な解決策です。 しかし、この方法を採るのが困難である場合に、WAFを適切に導入・運用する事で、Webサイトを保護する事が可能になる場合があります。 特に利用しているWebアプリケーションが以下のような状態の場合、WAF導入を検討してみる価値はあると思います。 オーダーメイドにより開発したシステムだが、保守期間を過ぎており改修が困難。開発した会社が既に存在しない等。 オープンソースを利用しているが、古いバー
Apache: ModSecurity (WAF) のインストール・設定方法 – Webアプリ脆弱性対策
本記事はWAF (Web Application Firewall)ソフトでApacheモジュールの一つである、ModSecurityのインストール及び簡易的な設定方法を記載する。本運用を考慮した設定は本記事では割愛するが、必要な参考リンクは適時記載するので参照されたし。 概要 (全体像) ModSecurity:TrustWave社がGPLv2 ライセンスのもと提供しているOSSのWAF。 ModSecurity: Open Source Web Application Firewall 下記の資料にWAFの概要からModSecurityの導入〜運用までの検討ポイントが記載されている。 IPA 独立行政法人 情報処理推進機構:Web Application Firewall 読本 OWASP Core Rule Set:OWASP(Open Web Application Securit
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ほんとうに大事なサービスを守れるのか!? 実運用に向けてAWS WAFを検討してみた
ModSecurity (mod_security) - Open Source Web Application Firewall
