大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog
最近TL上で「新しいタイプのSQLインジェクション攻撃」というキーワードを見かけます。情報元をたどっていくとどうやらこの攻撃は「LizaMoon(ライザムーン)攻撃」という名称の模様。攻撃で用いられた手法があまりないパターンであったということでどういうものか調べてみました。 (1) LizaMoon攻撃とは何か 先月末、3/29にwebSenceのBlogに「新しい悪意ある大規模なインジェクションが行われた」として、次のポストが行われました。 Websense Security Labs and the Websense Threatseeker Network have identified a new malicious mass-injection campaign that we call LizaMoon. Websense customers are protected wit
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html Web Application Firewall(WAF)は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく
白黒はっきりつけたいWAFの最新事情
5月13日に始まった「第6回 情報セキュリティEXPO」。インターネットからの攻撃はますます複雑化し、ターゲットもOSやWebサーバではなく、Webアプリケーションに絞られてきている。これに対抗するのが、WAF(Web Application Firewall)である。 Webサイト攻撃増加とPCI DSSで 注目を浴びるWAF 情報漏えい対策のような社内セキュリティに注目が集まる中、インターネットとLANの間に設置するゲートウェイ型セキュリティ製品もいくつか登場している。ファイアウォールやIPS、UTM製品も多いが、トレンドとなっているのは、やはりWAFである。 WAFは名前の通り、Webアプリケーションの防御に特化したHTTP・HTTPS専用のファイアウォールで、今から5年前くらいにアプライアンス型の製品が登場。当初は高価で、フィルタリング設定に融通が利かなかったため、なかなか普及しな
2製品が過剰検知なし,攻撃ツールはほぼ撃退
一つは「union」「select」というSQLの予約語を二つ含む文字列で,BIG-IPとSecureSphereが過剰検知した。もう一つは「'」という特殊文字とSQLの予約語を一つずつ含む文字列。これはCitrixが過剰検知した。 過剰検知した3製品はどれもホワイトリスト重視型である。ホワイトリスト重視型の製品は,ホワイトリストの作成など,導入前にWebサイトの特性に合わせてチューニングすることで安全性の向上を図ることを推奨している。そうしたチューニングの過程で,過剰検知への配慮も必要になりそうなことが検証で分かった。クレームを減らすため,過剰検知は導入前にできるだけなくすべきである。 過剰検知が出なかった2製品は,ブラックリスト重視型の製品だった。どちらも導入前の設定作業を極力減らして,すぐに使えることを目指している。今回はあくまで二つの文字列を試しただけだが,導入時の手間は少なくなり
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
ModSecurity Blog: XSS Defense HOWTO - ripjyr's blog
ふむふむ、mod_securityでクロスサイトスクリプティングを防ぐための方法を考えると。 Without any planning (so please forgive any omissions), I am now going to write how to produce web applications that are safe against XSS and other injection attacks. http://blog.modsecurity.org/2008/07/do-you-know-how.html UTF-8系の話が弱いなぁ。 Identify all system components other than the application itself. In a typical web application you will have at le
mod rewriteを使用した簡易WAF
(Last Updated On: 2018年8月8日)http://www.0x000000.com/?i=567 にmod rewriteを利用した簡易WAF(Web Application Firewall)の定義例が掲載されています。同じようなアイデアをお持ちの方、既に似たような設定を使われている方も多いとは思います。 簡単なWAFですが、実用性も高いです。例えば、ヌル文字やHTML特殊文字のインジェクションは様々な攻撃で利用されます。アプリケーションで対処が忘れられがちなCOOOKIEやREFER、USER_AGENT等に特殊文字が入っていた場合にアクセスを拒否する部分だけもで導入する価値は十分にあると思います。 元ネタのサイトは英語ですが、解説付きです。 これを入れると問題となる場合もあるので、内容を理解してから利用しなければなりません。 RewriteEngine On Op
そのやり方でクロスサイトスクリプティング対策は完全ですか?
何かと物騒なニュースの多いWebアプリケーションのセキュリティ。 特にクロスサイトスクリプティング脆弱性(以下「クロスサイトスクリプティング」といいます)は、対策が難しいだけでなく、セッションハイジャックなどを組み合わせることで他のユーザーの情報を得られるなど攻撃者にとっての メリットも大きく、攻撃は増加の一途をたどっています。 クロスサイトスクリプティングとは? クロスサイトスクリプティングとは、悪意のあるコードがWebサイトの訪問者のブラウザに送られてしまう脆弱性のことをいいます。 クロスサイトスクリプティング自体でも、ブラウザを強制的に停止させるなどの実害を訪問者に与えることができますが、もっと怖いことは、訪問者のクッキーなどを盗み出し、 ログイン状態を擬似的に作り出して、個人情報やクレジットカード番号など、重要な情報が盗まれる可能性があるという事実です。 プログラマがしっかりすれば
ファウンドリーがアプリ・スイッチを強化,Webアプリへの攻撃を防御
写真 米ファウンドリーネットワークスのロン・ミトラ アプリケーション・デリバリー兼セキュリティ製品担当プロダクトマーケティングマネージャ ファウンドリーネットワークスジャパンは4月24日,アプリケーション・スイッチ「ServerIron」の制御ソフトを強化したと発表した。(1)Webアプリケーション・ファイアウォール(WAF),(2)迷惑メール対策,(3)HTTP(hypertext transfer protocol)圧縮の三つの機能を追加した。 (1)は,SQLインジェクションやクロスサイト・スクリプティングなどのWebアプリケーションを狙った攻撃を遮断する機能。(2)は外部事業者が提供する迷惑メール送信者のIPアドレスの情報を参照し,該当する送信元からのメールの受信を拒否するもの。迷惑メールの可能性があるメールを,迷惑メール判定の専用サーバーに転送することもできる。 (3)はWebサ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://tokumaru.org/d/20080722.html
Sentinel dynamically generates ModSecurity rules
そのやり方でクロスサイトスクリプティング対策は完全ですか?
We need Web Application Firewalls to work