AWS Solutions Architect ブログ
こんにちは、プロフェッショナルサービスの宮本です。 先日開催致しました AWS Black Belt Online Seminar 「AWS WAF」の資料を公開いたしました。当日参加者の皆様から頂いたQAの回答と併せてご紹介致します。 今後のAWS Black Belt Online Seminarのスケジュールは こちら です。皆様のご参加をお待ちしております。 【Q&A】 1. セキュリティベンダー(Impervaや、トレンドマイクロなど)のセキュリティルールなどを、WAFにインポートするような仕組み(連携)はないでしょうか?もしくは、今後の目処があれば教えていただきたい。 re:Invent 2017にてAWS WAFのマネージドルールが発表されました。 マネージドルールではAlert Logic、Fortinet、Imperva、Trend Micro、TrustWaveなど、業
【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent | DevelopersIO
こんにちは、臼田です。 今回はAWS WAFの神アップデートであるManaged Ruleを利用して、Wordpressの脆弱性に対する攻撃を防いでみたいと思います。 WAFマネージドルールって何? 今回発表されたAWS WAFの新機能で、下記に速報があります。 【速報】AWS WAFがサードパーティーのマネージドルールに対応しました! #reinvent そもそもWAFマネージドルールって何がいいの? マネージドルールがこれまでのAWS WAFのルールより優れている点は大きく2つあります。 ルールを自分で管理しなくていい これまでAWS WAFでは、攻撃に対する防御に利用するルールは自分で作成する必要性がありました。 例えば防御したいサイトに対して、SQLインジェクションの防御用のコンディションを作成し、コンディションにフィルターを追加し、コンディションをルールに適用して利用します。 こ
忙しい人のための Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities メモ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? こんにちは、ひろかずです。 2017年7月に「Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities」が公開されました。 日本語翻訳されていないので、なかなか読めていない方もいると思います。 リリースから少し時間が経ってしまいましたが、読了したので一筆書きます。 #どんなドキュメントか OWASP Top10 で上っている各項目についての解説と、各項目についてAWS WAFでどのような対応ができるかを記載したもの。 Conditionを作る上でのアドバ
【Tips】AWS WAFで複数ConditionをひとつのRuleに設定する際の注意事項 | DevelopersIO
セキュリティって怖いですね。森永です。 AWS WAF使ってますか? お手軽にWAFを使いたいという場合にはもってこいのサービスです。 設定の際に少しハマリポイントがありますので、注意事項と解決方法を書いておきます。 ConditionとRule AWS WAFにはどんなものを検知するかという「Condition」と、検知したものをどうするかという「Rule」という概念があります。 複数のConditionをひとつのRuleに設定出来ます。 例えば、SQLインジェクション用とXSS用のConditionをひとつのRuleに設定と言った感じです。 「どちらかのConditionが検知したらブロックする」という設定をしたい際に問題が発生します。 それは、複数ConditionがAND条件となるということです。 上記の例で行くと、SQLiとXSSのCondition両方に引っかかる攻撃を仕掛けな
AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy
最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS
AWS Solutions Architect ブログ
AWS WAF (a web application firewall)を使えば、スパマーやマルウェアの配布元、あるいはボットネットなどの悪い振る舞いをする(bad actor)発信元として知られ、リスト化されているIPアドレス(風評リスト、reputation list)からのWebアプリへの攻撃を防ぐことができます。これらのIPアドレスは発覚から逃れるために頻繁に変更されます。本記事では、AWS WAF Ruleとreputation listの同期方法を紹介します。 いくつかの団体が、bad actorに使われているIPアドレスがリストされたreputation listをとりまとめています。彼らの目的は、合法的な団体が特定のIPアドレスからの攻撃から、Webアプリを守る助けとなることです。それらはプレーンテキストでダウンロード可能です。例えば次のようなものが知られています。 Spa
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
