[B! waf] nijikotのブックマーク

AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy

最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsql mapをかけたところ、攻撃をブロックしてくれたという記事があります。記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。単純にSQLインジェクションしてみるまずは、AWS WAFがないときにSQLインジェクションができること、また、AWS

nijikot 2016/05/18

リンク

AWS Solutions Architect ブログ

AWS WAF (a web application firewall)を使えば、スパマーやマルウェアの配布元、あるいはボットネットなどの悪い振る舞いをする(bad actor)発信元として知られ、リスト化されているIPアドレス(風評リスト、reputation list)からのWebアプリへの攻撃を防ぐことができます。これらのIPアドレスは発覚から逃れるために頻繁に変更されます。本記事では、AWS WAF Ruleとreputation listの同期方法を紹介します。いくつかの団体が、bad actorに使われているIPアドレスがリストされたreputation listをとりまとめています。彼らの目的は、合法的な団体が特定のIPアドレスからの攻撃から、Webアプリを守る助けとなることです。それらはプレーンテキストでダウンロード可能です。例えば次のようなものが知られています。 Spa

nijikot 2016/05/08

リンク

新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO

佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。ファイアウォールとはファイアウォールは、IPヘッダやTC

nijikot 2016/04/27

リンク

How to Prevent Hotlinking by Using AWS WAF, Amazon CloudFront, and Referer Checking | Amazon Web Services

AWS Security Blog How to Prevent Hotlinking by Using AWS WAF, Amazon CloudFront, and Referer Checking At some point, you might have to deal with hotlinking: when third parties embed in their websites the content they find on your websites. The third-party website does not incur the cost of hosting the content, which means your website can end up paying for the content other sites use. Now, you can

nijikot 2016/04/22

waf
aws

リンク

【アップデート】AWS WAFでXSSに対応しました | DevelopersIO

ウィスキー、シガー、パイプをこよなく愛する大栗です。本日AWS WAFがクロスサイト・スクリプティング（XSS）に対応しましたので試してみました。クロスサイト・スクリプティング（XSS）？情報処理推進機構（IPA）の「安全なウェブサイトの作り方」改訂第7版によると、以下の様な説明がされています。ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容や HTTP ヘッダの情報を処理し、ウェブページとして出力するものがあります。ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。設定を実施する AWS WAFでconditionsで以下のようにCross-site scription match condifionsが増えています。 Create

nijikot 2016/03/30

リンク

AWS Solutions Architect ブログ

インターネット向けのWebアプリケーションは非常に頻繁にスキャンあるいはプローブされます。それはときには良い目的で、ときには弱点を特定するために行われます。とりわけそれらを特定するためのツールを持ってないのであれば、そのように悪用される可能性がある試みの意図を調べるために、幾つかの調査を行うことになります。それらを識別し、不要なトラフィックをブロックする方法の一つが、AWS WAF　を使うことです。 AWS WAFはweb application firewallのひとつで、セキュリティを侵害したり、アプリケーションに不要な負荷をかけるような悪い試みからWebアプリケーションを保護するのに役立ちます。一般的には、それらの行動は自動化されています。攻撃者の意図はあなたのWebアプリケーションの使っているソフトウェアバージョンやインターネット向けに晒されているURL等の情報を収集することです

nijikot 2016/02/27