Yesod Web Framework for Haskell
Yesod is a Haskell web framework for productive development of type-safe, RESTful, high performance web applications. Yesod is a Haskell web framework for productive development of type-safe, RESTful, high performance web applications. Why Yesod? Turn runtime bugs into compile-time errors Yesod believes in the philosophy of making the compiler your ally, not your enemy. We use the type system to e
hashdos攻撃をmod_securityで防御する(CentOS+yum編)
このエントリでは、hashdos対策としてのmod_securityの導入と設定の方法を説明します。CentOS環境でyumによりApacheを導入しているサイトに対して、yumによりmod_securityを導入するというシナリオで説明します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、Webサーバーを数分程度過負荷にできるというDoS攻撃手法です。まだhashdosによる攻撃事例は報告されていないようですが、既に攻撃コード(PoC)が公表されているため、いつ攻撃が起こっても不思議ではない状況です。 PHPも影響を受けるプラットフォームであり、PHP5.3.9で対処予定となっていますが、まだPHP5.3.9はリリースされて
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
Webアプリケーション・セキュリティ
はじめに 企業情報システムの多くは、(1)Webアプリケーション・サーバー(画面や業務ロジックを担当する)と(2)データベース・サーバー(データを格納する)で構築されています。これらのサーバー・ソフトに対する不正アクセスや操作ミスを防ぐことが、企業のデータを守るうえで重要です。 本連載では、2回にわたり、Webアプリケーション・サーバーのセキュリティ(第1回)と、データベース・サーバーのセキュリティ(第2回)を解説します。 Webサイトにおける脆弱性の現状 Webアプリケーション・サーバーのセキュリティ対策を考える前提として、 脆弱性の現状 脅威(攻撃)の現状 を知っておく必要があります。脆弱性と脅威の両方が揃うと、企業のデータは安全ではなくなります。 まずは、脆弱性の現状から説明します。 IPA(独立行政法人情報処理推進機構)のセキュリティセンターでは、経済産業省の告示に基づき、ソフトウ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
