Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
両想いのSSL証明書は存在する
はじめに 以前のエントリにおいてSSL中間CA証明書を検索するウェブサービスについて紹介しました。このウェブサービスを作る過程で、私たちは合計約82万枚のSSL証明書を収集してデータベースを作成し、それを元に様々な分析を行いました。その際に見つけた、普段では気がつくことがないような面白い話がいくつかあるので、今回ここで紹介してみたいと思います。 尚、このWAF Tech Blogは基本的にはエンジニア向けの有用な情報をお届けしているつもりですが、今回は実際の業務等に役に立つ情報は殆どなく、ネタ的な要素が強い内容となっていることをご了承ください。 えっ!? 私の証明書の階層、深すぎ...? SSL証明書は階層構造を取ることが知られています。最もポピュラーなのはルート証明書からサーバ証明書までが3階層あるいは4階層のものです。 階層が浅いものを探してみると、まれに2階層というものがあります。例
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
