大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog
最近TL上で「新しいタイプのSQLインジェクション攻撃」というキーワードを見かけます。情報元をたどっていくとどうやらこの攻撃は「LizaMoon(ライザムーン)攻撃」という名称の模様。攻撃で用いられた手法があまりないパターンであったということでどういうものか調べてみました。 (1) LizaMoon攻撃とは何か 先月末、3/29にwebSenceのBlogに「新しい悪意ある大規模なインジェクションが行われた」として、次のポストが行われました。 Websense Security Labs and the Websense Threatseeker Network have identified a new malicious mass-injection campaign that we call LizaMoon. Websense customers are protected wit
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html Web Application Firewall(WAF)は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく
可能性を感じさせるRequest Filtering Module - ヴァルカンの気まぐれ日記
つい先日知ったのだが、IIS7.xでは、UrlScanのほぼ全ての主要機能がRequest Filtering Module(要求フィルタ)という名称のネイティブモジュールに組み込まれて提供されているそうだ。 参照元:Use Request Filtering | Microsoft Docs IIS7.xにもUrlScanを導入することが出来るが、あくまでもISAPIフィルタとしての導入になる。 そして、設定変更にIIS Managerやappcmdツールを使うことが出来ない。 もちろん、WMIプロバイダ経由でのアクセスも無理だし、PowerShellでの管理も難しいだろう。 モジュールとして提供され、IIS7.xに組み込むことが出来ると言うことは、IIS7.xの管理ツールが一通り使えるということだ。 Administration Pack for IIS Managerを使えば、GUI
アカマイがクラウドにWAFを実装して提供 - @IT
2009/05/21 アカマイは5月20日、同社が全世界に配置しているコンテンツ配信用プラットフォーム「Edge Platform」の機能を拡張し、Webアプリケーションファイアウォール(WAF)モジュールを搭載することを発表した。これにより、データセンターに置かれているオリジナルのサーバに届く前に、クラウド側で攻撃を検出、ブロックできるという。 アカマイでは、世界70カ国に約4万8000台のEdge Platformを配置し、インターネットを介したコンテンツの高速配信サービスを提供してきた。Edge Platformではさらに、オンラインショッピング事業者向けにいくつかのツールキットを提供しており、アクセスしてきたユーザーの属性に応じて優先順位付けを行ったり、キャンペーンと連動したコンテンツを提供するといった、きめ細かなサービス提供が可能という。 新たに提供されるWAFモジュールも、この
オープンソース由来の国産WAFにかける意気込み
Webアプリケーションファイアウォールの機能をサービスとして提供する国内初の取り組みをセキュアスカイ・テクノロジー(SST)が始めた。オープンソース由来の同サービスの開発を手がける金床氏とSSTの若林氏に、その狙いと目標を聞いた。 WebサイトやWebアプリケーションを標的にするサイバー攻撃が激増する中、これらの攻撃に対処する手段としてWebアプリケーションファイアウォール(WAF)が注目されている。WAFはクロスサイトスクリプティングやSQLインジェクションなどWeb特有の脆弱性に特化してシステムを保護できるものの、導入や運用にはある程度の手間やコストも伴うことから、使いこなすようになるまでには時間やリソースを費やす側面もある。 Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)は、オープンソースのWAF「Guardian」をベースにWAFの機能をオンラインで安価に提供する国
アカマイがクラウドにWAFを実装して提供 − @IT(情報元のブックマーク数) - ripjyr's blog
AkamaiがWAFを導入とのこと。 アカマイは5月20日、同社が全世界に配置しているコンテンツ配信用プラットフォーム「Edge Platform」の機能を拡張し、Webアプリケーションファイアウォール(WAF)モジュールを搭載することを発表した。これにより、データセンターに置かれているオリジナルのサーバに届く前に、クラウド側で攻撃を検出、ブロックできるという。 アカマイがクラウドにWAFを実装して提供 − @IT 基本はスーバーブラックリスト防御方式みたい。IPアドレスによる拒否とブラックリストシグネチャみたい。 新たに提供されるWAFモジュールも、このEdge Platform上に実装される。IPアドレスに基づいてネットワークレベルでサーバを保護するだけでなく、SQLインジェクションやクロスサイトスクリプティング、プロトコル違反といった、さまざまなアプリケーションレベルの攻撃からサーバ
住商情報がBIG-IP WAF装置の導入支援サービスをメニュー化
住商情報システム(SCS)は2009年5月20日,セキュリティ機器の導入によってWebアプリケーションを不正な攻撃から守るサービス「SCS WAFコンサルティングサービス」を発表した。同日付で提供を開始する。ノウハウを体系化した上で料金を明確にし、顧客が利用しやすくした。料金は脆弱性の診断サービスで60万円(税別)から。初年度販売目標は1億円。200万円の案件50件を見込む。 セキュリティ機器として,F5ネットワークスジャパンが販売する「BIG-IP Application Security Manager」(ASM)を利用する。WAF(Web Application Firewall)の1種で、バッファ・オーバー・フローを引き起こす攻撃やSQLインジェクションを使った攻撃など,Webアプリケーションを狙った不正な攻撃をシグネチャ・ベースで検知して防御する機能を備える。 今回SCSが製品化
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
白黒はっきりつけたいWAFの最新事情
5月13日に始まった「第6回 情報セキュリティEXPO」。インターネットからの攻撃はますます複雑化し、ターゲットもOSやWebサーバではなく、Webアプリケーションに絞られてきている。これに対抗するのが、WAF(Web Application Firewall)である。 Webサイト攻撃増加とPCI DSSで 注目を浴びるWAF 情報漏えい対策のような社内セキュリティに注目が集まる中、インターネットとLANの間に設置するゲートウェイ型セキュリティ製品もいくつか登場している。ファイアウォールやIPS、UTM製品も多いが、トレンドとなっているのは、やはりWAFである。 WAFは名前の通り、Webアプリケーションの防御に特化したHTTP・HTTPS専用のファイアウォールで、今から5年前くらいにアプライアンス型の製品が登場。当初は高価で、フィルタリング設定に融通が利かなかったため、なかなか普及しな
2製品が過剰検知なし,攻撃ツールはほぼ撃退
一つは「union」「select」というSQLの予約語を二つ含む文字列で,BIG-IPとSecureSphereが過剰検知した。もう一つは「'」という特殊文字とSQLの予約語を一つずつ含む文字列。これはCitrixが過剰検知した。 過剰検知した3製品はどれもホワイトリスト重視型である。ホワイトリスト重視型の製品は,ホワイトリストの作成など,導入前にWebサイトの特性に合わせてチューニングすることで安全性の向上を図ることを推奨している。そうしたチューニングの過程で,過剰検知への配慮も必要になりそうなことが検証で分かった。クレームを減らすため,過剰検知は導入前にできるだけなくすべきである。 過剰検知が出なかった2製品は,ブラックリスト重視型の製品だった。どちらも導入前の設定作業を極力減らして,すぐに使えることを目指している。今回はあくまで二つの文字列を試しただけだが,導入時の手間は少なくなり
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
ModSecurity Blog: XSS Defense HOWTO - ripjyr's blog
ふむふむ、mod_securityでクロスサイトスクリプティングを防ぐための方法を考えると。 Without any planning (so please forgive any omissions), I am now going to write how to produce web applications that are safe against XSS and other injection attacks. http://blog.modsecurity.org/2008/07/do-you-know-how.html UTF-8系の話が弱いなぁ。 Identify all system components other than the application itself. In a typical web application you will have at le
mod rewriteを使用した簡易WAF
(Last Updated On: 2018年8月8日)http://www.0x000000.com/?i=567 にmod rewriteを利用した簡易WAF(Web Application Firewall)の定義例が掲載されています。同じようなアイデアをお持ちの方、既に似たような設定を使われている方も多いとは思います。 簡単なWAFですが、実用性も高いです。例えば、ヌル文字やHTML特殊文字のインジェクションは様々な攻撃で利用されます。アプリケーションで対処が忘れられがちなCOOOKIEやREFER、USER_AGENT等に特殊文字が入っていた場合にアクセスを拒否する部分だけもで導入する価値は十分にあると思います。 元ネタのサイトは英語ですが、解説付きです。 これを入れると問題となる場合もあるので、内容を理解してから利用しなければなりません。 RewriteEngine On Op
そのやり方でクロスサイトスクリプティング対策は完全ですか?
何かと物騒なニュースの多いWebアプリケーションのセキュリティ。 特にクロスサイトスクリプティング脆弱性(以下「クロスサイトスクリプティング」といいます)は、対策が難しいだけでなく、セッションハイジャックなどを組み合わせることで他のユーザーの情報を得られるなど攻撃者にとっての メリットも大きく、攻撃は増加の一途をたどっています。 クロスサイトスクリプティングとは? クロスサイトスクリプティングとは、悪意のあるコードがWebサイトの訪問者のブラウザに送られてしまう脆弱性のことをいいます。 クロスサイトスクリプティング自体でも、ブラウザを強制的に停止させるなどの実害を訪問者に与えることができますが、もっと怖いことは、訪問者のクッキーなどを盗み出し、 ログイン状態を擬似的に作り出して、個人情報やクレジットカード番号など、重要な情報が盗まれる可能性があるという事実です。 プログラマがしっかりすれば
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://tokumaru.org/d/20080722.html
純国産ファイアウォール、JP-Secureが新製品
Sentinel dynamically generates ModSecurity rules
そのやり方でクロスサイトスクリプティング対策は完全ですか?
We need Web Application Firewalls to work