いま知りたいWAF特集 第4回 現在のWAFの課題 | ScanNetSecurity
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
Webアプリケーション・セキュリティ
はじめに 企業情報システムの多くは、(1)Webアプリケーション・サーバー(画面や業務ロジックを担当する)と(2)データベース・サーバー(データを格納する)で構築されています。これらのサーバー・ソフトに対する不正アクセスや操作ミスを防ぐことが、企業のデータを守るうえで重要です。 本連載では、2回にわたり、Webアプリケーション・サーバーのセキュリティ(第1回)と、データベース・サーバーのセキュリティ(第2回)を解説します。 Webサイトにおける脆弱性の現状 Webアプリケーション・サーバーのセキュリティ対策を考える前提として、 脆弱性の現状 脅威(攻撃)の現状 を知っておく必要があります。脆弱性と脅威の両方が揃うと、企業のデータは安全ではなくなります。 まずは、脆弱性の現状から説明します。 IPA(独立行政法人情報処理推進機構)のセキュリティセンターでは、経済産業省の告示に基づき、ソフトウ
PCIDSS適合次世代WAF(WAPPLES):Webセキュリティ| ソリューション : 株式会社DSR
:WAF(Webアプリケーションファイアウォール) ウェブアプリケーションのセキュリティ対策にはWAF ビジネス基盤として、ますます重要性を増すウェブアプリケーション。 ウェブサービスを提供する事業者であれば、確実なセキュリティ性を確保して運営することが必須です。WAF(Webアプリケーションファイアウォール):WAPPLES(ワップル)は、 ホワイト/ブラックリストに頼らず、攻撃のロジックを分析 誤検知/過剰検知が少ない 設定の容易さ PCI DSS適合証明、EAL4の取得 から、確実なセキュリティ対策を考える運営事業者様に選ばれてきました。 WAF:WAPPLES(ワップル)の効果 ウェブサイト攻撃を探知及び遮断 ウェブサイト偽造、変造防止 ウェブ攻撃による情報流出の防止(所有している情報の保護) リアルタイムモニタリングなど様々な情報の提供 サービス中断を生じさせない可用性を提供 簡
WASForum Conference 2010: クロージングディスカッション 脆弱性対策至上主義からの脱却 | 水無月ばけらのえび日記
公開: 2010年6月4日0時10分頃 WASForum Conference 2010、Live IDの話の後は最後の最後、クロージングディスカッション。壇上には三井物産セキュアディレクションの国分裕さん、テクマトリックス株式会社の酒井喜彦さん、そして司会は株式会社テックスタイルの岡田良太郎さん。席からはスピーカーの門林さん、松岡さん、高木さんが乱入する形となりました。 以下は、話された内容の一部を断片的にメモしたものです。敬称は略させていただいています。正確性はいまいちな上に、途中ところどころ飛んでいますのでご注意ください。 国分昔からすると変わってきている。昔は自前で全部やっていたが、最近は外のサービスと連携したり、複数サイトにまたがったり、新たな考え方が今後必要になってくる。 酒井企業サイトのマッシュアップは進んでいない? これから対策しなければならなくなる話。伝えていかなければな
WASForum Conference 2010: "Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは | 水無月ばけらのえび日記
公開: 2010年6月1日1時30分頃 WASForum Conference 2010、OAuthの話の次は、日本IBMの吉濱佐知子さんによる「"Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは」というお話。吉濱さんはWASForum初の女性スピーカーなのだそうです。 ※全体的に話の流れが非常に速く、ほとんどメモが取れませんでした。以下、メモは断片的です。 Web2.0におけるセキュリティWebアプリケーションの脆弱性は依然として多いWeb2.0(ツーオー)の特徴……Ajaxによる非同期アクセス、MashUpSame-Origin Policyを破るコンテンツ …… サイト運営者が用意したものではないUGC (user-generated content、ユーザが投稿したさまざまなコンテンツ) や JSONP による外部ドメインコンテンツの取り込み 脅威の発
WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠 | 水無月ばけらのえび日記
公開: 2010年6月1日0時30分頃 WASForum Conference 2010、高木さんのセッションが延びてしまって開始予定時間を大きく過ぎたところで、トライコーダ上野宣さんによる「OAuthとWEBサイト運営のエコシステムに潜む罠」。
WASForum Conference 2010: どうするケータイ認証 | 水無月ばけらのえび日記
公開: 2010年5月31日0時45分頃 WASForum Conference 2010、ソフトバンクの脆弱性の話に続き、産総研の高木浩光さんによる「どうするケータイ認証」。 ケータイWebの世界従来、WASForumではあまり扱ってこなかった分野。その理由は…… 独自方式、仕様が明確でないNDAの壁 (特に公式サイト)契約で縛った独自世界なら、キャリアが責任を持つべき。部外者は何かを言うべき立場にないしかし、昨今では…… ケータイ独自方式が一般サイトにまで侵出2008.3 iモードIDがスタートスマートフォン対応の活発化 ログイン認証の欠陥ID (契約者固有ID) による認証を JavaScript + DNS Rebinding で突破される問題海外ではあまり問題にならないDNS Rebindingという手法は古くから知られていたのだが、そんな認証は日本でしか使われていないため、海外
WASForum Conference 2010: ケータイ2.0が開けてしまったパンドラの箱 | 水無月ばけらのえび日記
公開: 2010年5月30日16時40分頃 WASForum Conference 2010。OpenIDのお話の後は、昼休みを挟んで午後のセッションです。午後の一発目は、HASHコンサルティングの徳丸浩さんによる「ケータイ2.0が開けてしまったパンドラの箱」。実はこのセッション、事前に「未公表のネタ2件を発表する (twitter.com)」と宣言されていました。未公表の脆弱性が複数公開されるのではないか……と、期待と不安が高まります。 各サービスのかんたんログイン機能はてな …… 「かんたんログイン」ありライブドア …… 「クイックログイン」ありmixi …… 「かんたんログイン」ありブラウザ三国志 …… なんと、「かんたんログイン」のみ。むしろ潔い?Twitter …… かんたんログインあり。このサービスは、端末が3台あれば3台ともかんたんログインできるように頑張っている。Remem
WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (後半) | 水無月ばけらのえび日記
公開: 2010年5月29日13時35分頃 WASForum Conference 2010、国民のためのウェブサイトを運営するID認証の舞台裏。前半に引き続き、外部サービスとの連携の話に移って行きます。 オープン化とプライバシー社内で明文化されたポリシー : 「ヤフーをプラットフォームとして、ヤフーだけにとどまらず、パートナーサイトとの最適な連携を通じて、インターネット上に存在する情報・サービスの中から、お客様にとって最良の情報・サービスを提供して行く」OpenID、OAuthなどによるプラットフォーム提供プロバイダ側が充実しても、ユーザーにはその事が分からない。共同プレスリリースを出して行く 連携の例smart.fm × Yahoo! Yahoo!側のプロフィールをsmart.fm側で出せる渡したくないものは渡さないように選択できたりするOisix × Yahoo! 決済・ポイント連携
WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半) | 水無月ばけらのえび日記
公開: 2010年5月26日1時25分頃 WASForum Conference 2010、オープニングセッションに続いて、ヤフーの松岡泰三さんによる「国民のためのウェブサイトを運営するID認証の舞台裏」。松岡さんは「R&D統括本部プラットフォーム開発本部セントラル開発1部」に属し、OpenID、OAuth、認証API、認証(ログイン)、ソーシャルプラットフォーム、ストレージプラットフォーム、外部サービス連携……といった諸々のお仕事をされているそうで。 今回のお話は大きく前後半に分かれていて、前半はYahoo!の認証に関する仕組みや統計データについてのお話、後半は外部サービスとの連携の話になっていました。まずは前半部分のメモから。 Yahoo! Japan ID の現在アクティブユーザ数 …… 2396万IDYahoo!ウォレットのユーザ数 …… 1900万Yahoo!プレミアムの会員数
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
いま知りたいWAF特集 第3回 レンタルサーバーとWAF | ScanNetSecurity
いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向 | ScanNetSecurity
いま知りたいWAF特集 第1回 WAFの歴史 | ScanNetSecurity
WAFサービス「Scutum」にCDNオプションサービス機能を無償で追加 (SST) | ScanNetSecurity
WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ | 水無月ばけらのえび日記
WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から | 水無月ばけらのえび日記
WASForum Conference 2010: オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 | 水無月ばけらのえび日記