“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 (1/2)
SaaS型のWAF(Web Application Firewall)サービスを銘打った「Scutum(スキュータム)」が6月にスタートした。WAFといえば高価で導入が難しいというイメージがあるが、ScutumはこうしたWAFの課題を一気に解消するという。さっそく提供元のセキュアスカイ・テクノロジーと技術協力を行なったビットフォレストの担当者を取材した。 アプライアンス1台分の料金で 8年間利用できるSaaSのWAF WAFはSQLインジェクションやXSS(クロスサイトスクリプティング)など、Webアプリケーションに対する攻撃を防御するのに特化したファイアウォールを指す。クレジットカード会社が策定したセキュリティ標準規格であるPCI DSS(Payment Card Industry Data Security Standard)の中でも実装が明示されており、昨今大きな注目を集めている。し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
