タグ

関連タグで絞り込む (8)

タグの絞り込みを解除

wafに関するstibbarのブックマーク (5)

  • ModSecurityのCore Rule SetからみるWAFのルールとは

    Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するソリューションとして、WAFの導入が進んでいます。 稿では、オープンソースのWAFであるModSecurity のCore Rule Set(CRS)から「WAFのルール」について解説します。 WAF(Web Application Firewall)とは WAF(ワフ:Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した「個人情報の窃取」や「Webサイト改ざん」などのサイバー攻撃からWebサイトを保護するツールです。 Webアプリケーションを利用するユーザーは、HTTP通信によって情報をやり取りします。ユーザーが書き込みや参照などの操作をすると、要求(リクエスト)がWebサイトに送られ、その結果(レスポンス)をユーザーに返します。このとき、データベースを不正に操作するような通信が紛れて

    ModSecurityのCore Rule SetからみるWAFのルールとは

  • nginx向けのWebアプリケーションファイアウォールを試す | さくらのナレッジ

    ここで「ゾーン」はリクエスト中で検査対象となった部分を示しており、「ARGS」ならURLに与えられた引数(GETリクエストの引数)を示している(詳しいドキュメント)。また、この例ではidが1000、cscore0がSQL、score0が8となっていることから、IDが「1000」という検出ルールによって「SQL」というスコアが8に設定され、それによってブロックが行われていることが分かる。 NAXSIに対しWAF Testing Frameworkによるテストを実行する さて、続いてはデフォルト設定のNAXSIに対しWAF Testing Frameworkによるテストを実行してみよう。手順としてはnginx+ModSecuriy構成の場合とほぼ同様で、nginx.confにリバースプロクシ設定(「proxy_pass http://localhost:8080/;」)を追加してnginx経由

    nginx向けのWebアプリケーションファイアウォールを試す | さくらのナレッジ

  • WebアプリケーションをWAFでサクッと守って年末年始をもっと安心に - STORES Product Blog

    STORES 予約の @sa2dai です。 今年は予約管理サービス「クービック」が、heyにジョインさせてもらうこととなり、サービス名称も「STORES 予約」となったそんな年でした。 今回heyアドベントカレンダー2020に参加させてもらい、13日目として記事を作成しました。 STORES 予約では、セキュリティ対策の1つとして、WebアプリケーションをL7レベルで守るWAF (Web Application Firewall)を導入しています。 L7アプリケーションファイアウォールとかいうと導入大変そうに思えるんですが、awsを利用している方は案外簡単に導入してみることができるので、そのご紹介をします。 WAFとは 「Web Application Firewall」の略で「ワフ」と呼びます。なんかフワッとした、美味しそうな呼び名ですね。自分はサクフワっとしたやつが好きです。 WA

    WebアプリケーションをWAFでサクッと守って年末年始をもっと安心に - STORES Product Blog

  • “完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog

    セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引

  • 「AWS Black Belt Tech Webinar 2015 ‐ AWS WAF」レポート | DevelopersIO

    こんにちは、虎塚です。 12月9日(水)のAWS Black Belt Tech Webinarを聴講したので、レポートします。テーマは、re:Invent 2015でリリースされた新サービスのAWS WAFです。講師は、アマゾン ウェブ サービスの荒木さんでした。 AWS Black Belt Tech Webinarは、オンラインで受講できる無償のセミナーです。今後の予定は、国内のクラウドセミナー・イベントのスケジュール | アマゾン ウェブ サービス(AWS語)のオンラインセミナーの項で確認できます。 AWS WAFとは なぜAWS WAFを導入するか まず、そもそもAWS WAFは何に対応してくれるのか、なぜAWS WAFを導入するかについて。 アプリケーション脆弱性への対応 システムがExploit Code(問題のあるコード)を含んでいるときに、問題が顕在化しないようにす

    「AWS Black Belt Tech Webinar 2015 ‐ AWS WAF」レポート | DevelopersIO
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.