ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
IronBee - Open Source Web Application Firewall
Building a universal web application firewall in the cloud Open Source Next Generation WAF for the Community Qualys is announcing the development of IronBee, a new open source project to build a universal web application firewall sensor in the cloud through collective efforts of the community. The IronBee project will debut at 7pm PST on February 14th at the RSA Conference 2011 in San Francisco.
雲屋、SaaSでWebサイトを守る「XyberShield」を国内販売
7月17日、雲屋は米XyberSecureとSaaS型セキュリティ「XyberShield」の販売代理店契約を締結したと発表した。現在、日本におけるXyberShieldの販売は雲屋のみが手がけているという。 XyberShieldは、ふるまい検知ベースのWebアプリケーションセキュリティ。サイトへのすべてのトラフィックを監視し、一般のユーザーにはフルアクセスを与えながら、ハッカーや疑わしいふるまいを行なうトラフィックを遮断するという。 XyberShieldはWebアプリケーションの特性やエンドユーザーの行動を学習し、世界中の保護したアプリケーションから行動と攻撃との相関付けを行なう。導入・有効化にはほんの数分しかかからず、ユーザーやシステムに与える影響は最少にとどめるという。さらに、XyberShieldのインフラ運用は世界50か所以上で行なわれており、世界中のどこから攻撃があっても遮
NEC、AWS対応のWAFとクラスタリングのソフトをリリース
「InfoCage SiteShell」と「CLUSTERPRO」をアマゾン ウェブ サービスで利用できるようにした。 NECは5月8日、Webアプリケーションファイアウォール(WAF)ソフトウェア「InfoCage SiteShell」と、クラスタリングソフトウェア「CLUSTERPRO」のアマゾン ウェブ サービス(AWS)対応版の提供を開始した。 両製品はAWSのクラウド環境で使用するためのもの。InfoCage SiteShellではAWS上に構築したWebサーバなどに対する外部からのサイバー攻撃を遮断する。サーバの稼働状況に応じて台数や能力を増強するスケールアウトに対応し、ライセンスは使用分だけを購入する形となる。攻撃を検知するための情報はNECから随時提供される。 CLUSTERPROではAWS上にある仮想サーバなどのシステムの安定稼働を支援する。AWSのリージョン(データセン
ASCII.jp:ベリサインの証明書バンドル「脆弱性アセスメント」でWAF斡旋
長く使えば使えほどその違いがわかる Seagate技術本部 本部長が語るBarraCuda 120 SSDの耐久性&信頼性が高い理由 有効期限の延長から製品認証キーの確認、インストールファイルのダウンロードまで ESETユーザーなら使わないのはもったいないサービス「CLUB ESET」利用ガイド LINEで簡単操作できるホームIoTサービスでお家を見守り&電気代も節約! 「ネコリコホームプラス」でインフルエンザや熱中症とは無縁の快適生活のススメ 画面を直接操作せずに利用できるカーナビアプリの安全性 「ながら運転が厳罰化」でスマホナビが全滅!? 音声操作ナビなら心配無用! 単体でももちろん便利だが、組み合わせて使うとさらに便利! ファーウェイのスマホとイヤホンとスマートウォッチで日常をレベルアップ! 確定申告ビギナーはここに注意! 【2020年提出】確定申告「もう損したくない!」やり
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
セキュアなアプリ開発と合わせてWAFも検討を - JP-Secure 斉藤氏
依然続く、ウェブアプリケーションの脆弱性を突く攻撃 ウェブを活用した多種多様なサービスが人々の生活の中でもはや欠くことのできない存在となった昨今、そうしたサービスを支えるウェブアプリケーションを提供・開発する側には、利用者と自身を守るためのより高度なセキュリティ対策が求められている。 しかしながら、SQLインジェクションに代表される、ウェブアプリケーションの脆弱性を悪用した深刻なインシデントは最近数多く発生しており、予断を許さない状況だ。そんななか、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するための効果的な手法として注目されているのが、ウェブアプリケーションファイアウォール(WAF)である。 ジェイピー・セキュアの取締役で技術部長を務める斉藤和男氏は、昨年11月の「2011 Webセキュリティセミナー」(マイナビ主催)で行った「ウェブアプリケーションファ
SiteGuard Liteプレリリースページ
ウェブサーバにモジュールとして組み込んで利用するホスト型のウェブアプリケーションファイアウォール 実績ある「SiteGuard」のトラステッド・シグネチャ検査機能を踏襲し、クロスサイトスクリプティングやSQLインジェクションといったリスクの高い攻撃を重点的に防御するシンプルなホスト型のWAF製品 1.高い防御性能を誇るシグネチャ検査機能 「SiteGuard」で実績あるトラステッド・シグネチャをベースとしたブラックリスト型の防御機能を搭載しています。トラステッド・シグネチャは自動更新されるため、お客様側で煩雑なチューニングをすることなく、標準設定で常に最新の脅威に対応することができます。検査対象の除外や独自の防御ルール作成など、個別のご要件にも柔軟に対応できるカスタム・シグネチャ検査機能も搭載しています。 2.ネットワーク構成に影響を与えないモジュール型 「SiteGuard Lite」は
未修正の脆弱性に対応!Scutumにカスタマイズサービス
12月6日、セキュアスカイ・テクノロジー(SST)は、各企業が実施したWebアプリケーション脆弱性検査により発見された脆弱性に対する攻撃を防御できるよう、Webアプリケーションファイアウォール(WAF)サービス「Scutum(スキュータム)」をカスタマイズするサービス「Scutumケア」を発表した。通常価格は50万円だが、2012年3月末まで無償で提供する。 Webサイトの脆弱性診断を実施した結果、問題が見つかったにも関わらず修正が行なえず、修正のめどが立たないまま公開を続けるWebサイトが多数存在する。この背景には、改修費用が高額、開発業者が音信不通、さらにオープンソースソフトウェアをベースに開発したため、それ自体をバージョンアップする必要があるが、費用や手間が甚大でなかなか手が出ないなどといった理由があるという。 こうした状況に対処すべく、セキュアスカイ・テクノロジーではユーザーのWe
フォーティネット、コンテンツの自動復旧や脆弱性検査が可能なWAFを発表
フォーティネットは、Webアプリケーションファイアウォールの新製品として、ミッドレンジ向けとハイエンド向けの2モデルを発表した。 フォーティネットジャパンは9月9日、Webアプリケーションファイアウォール(WAF)の新製品となるミッドレンジ向けの「FortiWeb-1000C」およびハイエンド向けの「FortiWeb-3000C」を発表した。最新ファームウェア「FortiWeb 4.0 MR1」の採用により、コンテンツの自動復旧や脆弱性の検査機能が搭載されている。 FortiWeb-1000Cは、最大スループットが500Mbps、HTTPトランクションが毎秒2万7000の性能を持つ。FortiWeb-3000Cでは最大スループットが1Gbps、HTTPトランクションが毎秒4万となり、大規模なデータセンターでの運用に耐える仕様となっている。 本製品は、Webシステムに存在するクロスサイトスク
PCIDSS適合次世代WAF(WAPPLES):Webセキュリティ| ソリューション : 株式会社DSR
:WAF(Webアプリケーションファイアウォール) ウェブアプリケーションのセキュリティ対策にはWAF ビジネス基盤として、ますます重要性を増すウェブアプリケーション。 ウェブサービスを提供する事業者であれば、確実なセキュリティ性を確保して運営することが必須です。WAF(Webアプリケーションファイアウォール):WAPPLES(ワップル)は、 ホワイト/ブラックリストに頼らず、攻撃のロジックを分析 誤検知/過剰検知が少ない 設定の容易さ PCI DSS適合証明、EAL4の取得 から、確実なセキュリティ対策を考える運営事業者様に選ばれてきました。 WAF:WAPPLES(ワップル)の効果 ウェブサイト攻撃を探知及び遮断 ウェブサイト偽造、変造防止 ウェブ攻撃による情報流出の防止(所有している情報の保護) リアルタイムモニタリングなど様々な情報の提供 サービス中断を生じさせない可用性を提供 簡
「WAFでWebアプリの早期リリースが可能に」、米F5 Networks製品マネージャ | IT Leaders
インプレスビジネスメディアは2010年5月24日、米F5 Networksでセキュリティ分野のプロダクト・マネージャを努めるIdo Breger氏に、WAFの市場動向と、BIG-IP ASMの最新機能について聞いた。 ---WAFを取り巻く2010年現在の市場動向は。 Ido Breger氏: まず、守るべきWebシステムが増えている。Webサーバー側の変化としては、ここへきてレガシー・システムのWeb化が加速している。Webクライアント側の変化としては、タブレットPCやスマートフォンの浸透に見られるように、いつでもどこでも誰でもWeb化された業務システムにアクセスできる状況になってきている。 攻撃対象となるWebシステムの種類も増えてきた。特定の企業を対象とした攻撃だけでなく、不特定多数への攻撃を自動的に実施する動きが、ここ1年ほど高まっている。Webシステムをランダムにスキャン(走査)
@IT Special PR:サーバの“お守り”に、さようなら! さくらの「マネージドサーバ」を早速使ってみた
これが新サービスに投入される、さくらインターネット独自のAtomサーバだ(クリックで拡大)。パッと見わかりづらいが、1Uサーバの半分の幅、半分の奥行きしかなく、1Uに4台入れることができる 11月末に発表され、12月10日にスタートしたばかりの「さくらのマネージドサーバ」とは、これまで同社が提供してきた共有タイプのさくらのレンタルサーバと、専用サーバの中間に位置付けられるサービスだ。さくらインターネット 企画部 商品企画チーム 天内雅晴さんは、こう説明する。 「これまで弊社のプランですと、レンタルサーバの最上位プランは月額4500円でハードディスク40GB。これ以上のものをご希望の方には、専用サーバしか選択肢はありませんでした」 専用サーバなら同社の月額7800円のエントリープランでも、メモリ1GB、ハードディスク160GBが自由に使えるが、同時にサーバOSやサーバ上のソフトウェア設定に関
NSFOCUS
Based on years of research on Web application attack prevention technology, NSFOCUS develops Web Application Firewall (WAF) appliance, to deal with the Web application security issues and derived maintenance and management problems for various organizations. NSFOCUS WAF constructs the NSFOCUS Proactive and Reactive Security (NPRS) model based on the sequence, to ensure the integrity and availabili
New open source web application layer firewall 'ESAPI WAF' released
"The open-source ESAPI WAF is a departure from commercial, network-based firewalls, as well as ModSecurity's free WAF, says Arshan Dabirsiaghi, developer of the ESAPI WAF and director of research for Aspect Security. Dabirsiaghi will roll out the WAF at the OWASP Conference in Washington, D.C., in November. "WAFs today are deployed as appliances meant to protect a suite of applications. They're ki
オープンソース由来の国産WAFにかける意気込み
Webアプリケーションファイアウォールの機能をサービスとして提供する国内初の取り組みをセキュアスカイ・テクノロジー(SST)が始めた。オープンソース由来の同サービスの開発を手がける金床氏とSSTの若林氏に、その狙いと目標を聞いた。 WebサイトやWebアプリケーションを標的にするサイバー攻撃が激増する中、これらの攻撃に対処する手段としてWebアプリケーションファイアウォール(WAF)が注目されている。WAFはクロスサイトスクリプティングやSQLインジェクションなどWeb特有の脆弱性に特化してシステムを保護できるものの、導入や運用にはある程度の手間やコストも伴うことから、使いこなすようになるまでには時間やリソースを費やす側面もある。 Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)は、オープンソースのWAF「Guardian」をベースにWAFの機能をオンラインで安価に提供する国
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.
セキュリティ機器よもやま話。そしてなぜ、ワフ(WAF)は素人に好かれ玄人に嫌われるのか?
サポート情報 | WebセキュリティのEGセキュアソリューションズ
http://japan.internet.com/webtech/20091215/12.html