失敗しない「Webアプリケーションファイアウォール(WAF)」の選び方
関連キーワード WAF(Webアプリケーションファイアウォール | ADC(Application Delivery Controller) | Webアプリケーション | 脆弱性 ガートナーの礒田氏 Webサイトの改ざんや不正ログインが後を絶たない。WebサーバやWebアプリケーションを支えるソフトウェアの脆弱性が相次いで発覚したり、実在するID/パスワードを利用した「アカウントリスト型攻撃」など攻撃手法が多様化していることが、その背景にある。こうしたWebサイトやWebアプリケーションへの攻撃に対処するセキュリティ製品の代表例が、「Webアプリケーションファイアウォール(WAF)」製品だ。 WebサイトやWebアプリケーションを保護する手段として、ここに来てWAF製品に注目する企業が増えつつある。TechTargetジャパンが2014年10月から11月に掛けて実施した読者調査では、導入
キャプチャ認証追加機能 - Scutum技術関連情報 | クラウド型WAFサービス Scutum【スキュータム】
「認証強化機能」オプション WAF 『Scutum』は、パスワードリスト攻撃などの成りすまし被害防止のため、利用中のWebサイトに簡単に「キャプチャ認証」を追加する機能を提供いたします。 Scutum による認証強化機能 WAF 「Scutum」 では、導入Webサイトの認証強化を簡単に追加できるオプション機能をご用意しております。 本機能により、これまでユーザーIDとパスワードのみで認証を行っていたWebサイトに「Scutum」を導入するだけで、一切の開発なしに、自動化された認証攻撃を防ぐキャプチャ認証に対応したウェブアプリケーションへと進化させることが可能です。
全裸で学ぶMVC事始め - ゆーすけべー日記
一般的なWeb Application Framework(WAF)ではMVCという設計及び実装における概念が取り入れられています。 MVCに従ってつくるのが全てではありませんが、 WAFを使うと共に、一度はMVCを用いたWebアプリの開発経験はしておいた方がよいと思います。 MVCはモデル(Model)、ビュー(View)、コントローラ(Controller)の3つの単語を組み合わせた言葉で、 この3つで概念が成り立っています。 クライアントがWebに対してリクエストをした時に、これら3つがそれぞれ連動して結果を返します。 一般的には以下のような処理経路をたどります。 クライアントがWebサイトにリクエスト コントローラがリクエストの処理を行い、モデルとビューを動かす 必要に応じてモデルを呼び出す 結果のデータをビューに渡す ビューがHTML化などをしたものをクライアントに表示する MV
実はWAFは有効じゃんという話>ライザムーン攻撃 - 極楽せきゅあブログ
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog なんだ有効なのかー残念(笑)。 今時のWAFのポリシーの持ち方は数値狙いも攻撃もしっかり捕捉できているという話ですね。いやーこの記事探していたんだけど、本人が参照してくれたので助かりましたw。 数値型攻撃が通る製品もあった | 日経 xTECH(クロステック) WAFは有効なんだけど新たに攻撃がこれだけ効果を発揮してしまうということは、数値型の攻撃への対策が浸透していないということなのか。まずはこのあたりの文書参照して対策してほしいなあ。 安全なSQLの呼び出し方 もちろん、もっと分厚い、立って読めば筋トレにもなる徳丸本もあるよ(笑)。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/0
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
IronBee - Open Source Web Application Firewall
Building a universal web application firewall in the cloud Open Source Next Generation WAF for the Community Qualys is announcing the development of IronBee, a new open source project to build a universal web application firewall sensor in the cloud through collective efforts of the community. The IronBee project will debut at 7pm PST on February 14th at the RSA Conference 2011 in San Francisco.
WAFなんて誰も要らない
WAF(Web Application Firewall)の雑感です。 昨日の第1回北海道情報セキュリティ勉強会で、竹迫さんからmod_waffulとmod_securityの話が出ていましたが、営業としてはお金になりやすい箱物のWAFを販売したがります。箱物のアプライアンスになると、構築を担当するのはどうしても開発者ではなく、基盤構築担当者になります。そうすると、開発者は基盤を知らず、基盤構築担当者は開発を知らないため、結果的に誰もWAFを設定できません。この「知らない」というのは2つの点があると思います。 ・技術的な面 開発者は自分が触れる範囲での基盤(OSなりミドルなり)は技術的に把握しているのでしょうが、深く知らない場合が多いです。また自分が触れない部分(トータルとしての基盤)は知らない、というか理解したがらない。だから、「WAFでセキュリティ」と言われても、「それって基盤構築チー
Urlscan Filter v3.1が公開されています。
Microsoft Innovation Center MICでは各種無償セミナーを実施しています。 こちら そして、スピーカーは僭越ながら私がお話させていただいております。 一生懸命努めさせていただきますので、よろしければご参加くださいm(__)m もり ひろゆき(森 博之)と申します。 極東IT Engineersというコミュニティの代表です。 本業は東京でソフトウェア開発のお仕事をしております。いわゆるDeveloperですね(^^; 仕事ではVB,C#といろいろと渡り歩いてはおりますが、主に.NET系の業務アプリの開発が多いです。 というか仕事となったら必死で何でも勉強しますが(^^;;;; 最近ではMicrosoft Innovation Centerで講師もさせていただいておりますが、撃たれ弱いのでお手柔らかにお願いしますm(__)m まったく関係ありませんが、たこ焼き機も持っ
Webアプリを保護する「SiteGuard 3.00」、VMware環境を正式サポート
株式会社ジェイピー・セキュア(以下、JP-Secure)は9月8日、Linux対応のWebアプリケーションファイアウォール(WAF)ソフト新版「SiteGuard Ver.3.00」を発表した。 SiteGuardは、Webアプリケーションの脆弱性を突く攻撃からシステムを保護するLinux向けWAFソフト。「トラステッド・シグネチャ」によるパターンマッチングを行うのが特徴。多重防御機能と併用して、既知の攻撃を97%防御できるという。自己学習する「パラメータ検査機能」によって、自社アプリケーションにも対応したホワイトリストの作成が可能とのこと。 新版では、VMware環境を正式にサポートした。ソフトならではのネットワーク構成への柔軟な対応が可能という。完全国産製品であるため、管理画面、マニュアル、サポートなどは日本語に対応する。 ライセンス価格は、初年度178万円(税別)。次年度以降の更新費
悪意あるコードの侵入を阻止するツール、HTML Purifier | OSDN Magazine
HTML Purifierは、HTMLの正当性を確保しクロスサイト・スクリプティングなどの悪意あるコードの侵入を阻止するツールだ。同プロジェクトのページPluginsには、現在、CodeIgniter、Drupal、MODx、Phorum、Joomla!、WordPress用のプラグイン類が用意されている。これを導入しておけば、利用者が、閲覧したブラウザーで実行される悪意あるコードをHTMLコンテンツに挿入することができなくなる。実際の動作をデモ・ページで確かめることもできる。 HTML Purifierは、既知の悪意あるHTMLコードを探すブラックリスト方式ではなく、ホワイトリスト方式を採用している。したがって、正当なHTML文書を構成するすべてのパーツを明示的に指定する必要がある。どのようなコンテキストで何が許されるかは、Smoketestページで確認することができる。正当なHTMLと
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
NEC子会社がAPサーバー上で動作するWebアプリ・ファイアウォールを発売
NECシステムテクノロジーは,Webサイトへの不正な攻撃を防御するWebアプリケーション・ファイアウォール製品として,防御対象となるWebアプリケーション・サーバー上にインストールして使うソフトウエア製品「SiteShell」を,2008年6月26日に出荷した。Java環境とMicrosoft環境で利用できる。価格は,買い取りで200万円(税別)からか,または年額60万円(税別)。 SiteShellは,Webアプリケーション・サーバー(APサーバー)上で動作する,Webアプリケーション・ファイアウォール・ソフト。SQLインジェクションなどの不正な攻撃からWebアプリケーションを防御する。各種Java APサーバーまたはMicrosoft IISで利用できる。Java Servletのフィルタ(javax.servlet.Filterインタフェース)やISAPIフィルタなど,APサーバーが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向 | ScanNetSecurity
いま知りたいWAF特集 第1回 WAFの歴史 | ScanNetSecurity
アカマイ、クラウドベースのWAFソリューションを業界で初めて提供