ApacheのパストラバーサルをWAFでゼロデイ防御できたのは何故か
はじめに 世界的に知られているウェブサーバ実装のApache HTTP Serverがパストラバーサルの脆弱性を出してしまいました。しかも最初に発見されたCVE-2021-41773だけでなく、すぐに別のパストラバーサル脆弱性CVE-2021-42013も見つかり、わずか数日という短い期間において2度のバージョンアップが行われるという慌ただしい状況になりました。今回はこのApacheの脆弱性と、それに対してScutumがどのように対応できたかについて簡単にご紹介します。 ゼロデイ防御に成功 Scutumはクラウド型WAFとして、パストラバーサルへの攻撃を防ぐことを1つの目的にしています。そして今回Apacheに見つかった2つの脆弱性については、どちらもゼロデイで(脆弱性が発見されるよりもはるか昔から)防御ができる状態でした。そもそもこのような攻撃を想定した防御機能を展開していたためです。
AWS WAF の包括的なログ記録機能が新たに利用可能に
AWS WAF で検査されるすべてのウェブリクエストに対して完全なログが記録されるようになりました。お客様はこのログをコンプライアンスと監査の要件に合わせて Amazon S3 に保存することや、デバッグや追加のフォレンジックを行うために使用することができます。このログにより、お客様は特定のルールがトリガーされる理由や特定のウェブリクエストがブロックされる理由を把握できます。また、ログを独自の SIEM およびログ分析ツールに統合することもできます。 AWS WAF ログでは、各ウェブリクエストに対して raw HTTP/S ヘッダーと、トリガーされる AWS WAF ルールに関する情報が提供されるようになりました。この情報は、カスタム WAF ルールと AWS WAF マネージドルールのトラブルシューティングを実行する上で役立ちます。ログは Amazon Kinesis Data Fir
"AWS WAF"に対して"sqlmap"で"SQL injection"の攻撃をしてみた | iret.media
下記の記事でIPアドレスでのブロックは確認できたので、 "AWS WAF"を使って特定のIPアドレスからのアクセスをブロック 今回はSQL injectionのブロックを確認してみようと思います。 次のようなQuery Stringでパラメータを渡すパターンで簡単に試してみます。 $ curl http://d3q07yq8vdynnt.cloudfront.net/test.txt?id=1 test まずはWAFの設定です。 Condition(SQL injection match condition) の作成 Query StringをURLデコードした結果に対してSQL Injectionのチェックを行うように設定します。 ルールの設定 上記のConditionに引っかかったらアクションするようにルールを設定します。 Web ACLの設定 ルールに対するアクションがBlockにな
AWS WAFマネージドルールはタダで使いまわそう! | DevelopersIO
こんにちは、臼田です。 安く簡単に利用できるAWS WAFのマネージドルールですが、皆さんもう利用していますか? 今回は料金の考え方で少しわかりづらく、勘違いしそうな所があるので整理してみました。 WAFマネージドルールの使いまわし WAFマネージドルールは条件により追加料金無しで使いまわしが可能です!例を上げて説明します。 webACLが1つの場合 上記の図のように、複数環境にWAFマネージドルールが適用されたwebACLを割り当てた場合には、マネージドルールの料金は1unitとして計算されます。 これは、マネージドルールが適用されているwebACLの数をベースに数えられるためです。 同一AWSアカウント内であれば1つのwebACLを複数環境に使いまわしても追加費用無しで利用できます! webACLが複数ある場合 逆に、複数の環境に対して別々のwebACLを利用し、それぞれのwebACL
nginx向けのWebアプリケーションファイアウォールを試す | さくらのナレッジ
ここで「ゾーン」はリクエスト中で検査対象となった部分を示しており、「ARGS」ならURLに与えられた引数(GETリクエストの引数)を示している(詳しいドキュメント)。また、この例ではidが1000、cscore0がSQL、score0が8となっていることから、IDが「1000」という検出ルールによって「SQL」というスコアが8に設定され、それによってブロックが行われていることが分かる。 NAXSIに対しWAF Testing Frameworkによるテストを実行する さて、続いてはデフォルト設定のNAXSIに対しWAF Testing Frameworkによるテストを実行してみよう。手順としてはnginx+ModSecuriy構成の場合とほぼ同様で、nginx.confにリバースプロクシ設定(「proxy_pass http://localhost:8080/;」)を追加してnginx経由
Apache HTTP Server向けのWebアプリケーションファイアウォール(WAF)「ModSecurity」を使ってみよう | さくらのナレッジ
オープンソースのWAF WAFとして利用できるソフトウェアは多数存在しており、その多くはセキュリティ企業などが提供する商用製品/商用サービスとなっている。しかし、数は少ないがオープンソースのWAFも存在する。オープンソースのWAFとしてよく知られているのが次の5つだ。 ModSecurityはApache HTTP ServerやNginx、Microsoft IISのモジュールとして提供されているものだ。このモジュールを組み込むことで、これらWebサーバーをWAFとして利用できるようになる(図1)。 図1 ModSecurityのWebサイト 活発な開発が続けられており、採用実績も多い。DebianやUbuntu、Red Hat Enterprise Linux(RHEL)およびCentOSといったその互換OSなどでは標準でパッケージが提供されており、導入も容易だ。検出用のルールセットは
【AWS WAF】テンプレートでお手軽にWAFを構築しよう!【前編】
クラウドにおけるセキュリティは悩みが尽きません。 セキュリティ機能を導入する際は、まずクラウドの特性・制限について理解し、オンプレ型の非機能要件をクラウド型に「翻訳」したうえで、「どのような機能」を「どこに」「どのような品質で」導入し、かつシステム全体としてのセキュリティエコシステムをどう担保・運用していくか定めなくてはなりません。 本ページではそういったセキュリティの全体設計については触れませんが、PCI-DSS対応などでWAFの導入が必須になった場合に、選択肢として大いにとりうるAWS WAFの手軽な導入方法について、弊社実績をもとにご紹介します。 AWS WAFは細かい設定ができる反面、非常にとっつきが悪いです。セキュリティの重要さもあいまって、自力で設定しようとする利用者は不安に駆られることもあります。そこでAWSが提供するテンプレート(OWASP TOP10)を用いることで先人の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
