並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 99件

新着順 人気順

WAFの検索結果1 - 40 件 / 99件

WAFに関するエントリは99件あります。 セキュリティsecurityaws などが関連タグです。 人気エントリには 『ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件』などがあります。
  • ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件

    連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい

      ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
    • Log4jで話題になったWAFの回避/難読化とは何か

      はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で

        Log4jで話題になったWAFの回避/難読化とは何か
      • AWS WAF について最初から知りたかったこと8選 - 電通総研 テックブログ

        こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思ったことがあるので 8つご紹介します。 AWS WAF の基本については分かっている前提で、特に説明はいたしません。また2023年10月現在の最新バージョンである、いわゆる「AWS WAF v2」を対象としています。 その1: AWS マネージドルールのボディサイズ制限が厳しい その2: ファイルアップロードが AWS マネージドルールの XSS に引っかかることがある その3: マネージドルールにはバージョンがある その4: CloudWatch Logs

          AWS WAF について最初から知りたかったこと8選 - 電通総研 テックブログ
        • AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO

          こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中心に機能の説明をします。 Developers.IOではWAFを扱った記事がたくさんあるので、細かいところはブログを引用します。いわゆる元気玉ブログです。 おさらい的な部分も多いので変更点が気になる方は適当に飛ばしてください。 そもそもWAFとは AWS WAFの前にWAFの話をします。WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。 一般的なWebアプリケーションに対する攻撃手法としてSQLインジ

            AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO
          • Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO

            AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール「Log4JRCE」が追加されました。 Apache Log4j2 Issue (CVE-2021-44228) Log4j の脆弱性(CVE-2021-44228)対策として、AWS WAFの有効性を確かめる機会がありましたので、紹介させていただきます。 AWS Managed Rule Known bad inputs 新しいルール 「Log4JRCE」 が追加されました。 試してみた WAF(ACLs)設定 AWSManagedRulesKnownBadInputsRuleSet のみ設定した WebACLを用意しました。 BadInputsRuleSetのバージョンはデフォルト、検証

              Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO
            • 「Rails vs Node.js」を観た|laiso

              このYouTubeライブはフロントエンドの最適化を専門にするmizchiさんがCloudflare Meet-up Tokyoで行った同タイトルのプレゼンを、RustやRDBの実装に詳しいkoba789さんを話し相手に語っていくというものだ。背景としては2人ともチーム開発の現場でのRailsが活発に利用されていた時期にウェブ開発を経験し、現在はNode.jsのサーバーサイドも実践している。 ライブは3時間半という長時間におよび、スライド外の周辺情報や持論や余談など多岐に渡るので、すでにこのプレゼンに触れた人でもさらに深掘りできるようなコンテンツになっている。 全体を大まかに1時間ごとの3パートに区切って視聴するとわかりやすい。前半はRailsからNext.jsに辿り着くまでのウェブ開発の変遷。ORMの話は主に後半戦で。最後の1時間はアフタートークになっている。 内容としてはRailsアプリ

                「Rails vs Node.js」を観た|laiso
              • Rails 7.0正式リリース、Node.js不要のフロントエンド開発環境がデフォルトに

                Ruby言語によるWebアプリケーションフレームワークの最新版となる「Rails 7」が正式リリースされました。 Rails 7.0 FINAL: The fulfillment of a vision to present a truly full-stack approach to web development that tackles both the front- and back-end challenges with equal vigor. https://t.co/WxJ0nKYfE7 — Ruby on Rails (@rails) December 15, 2021 Rails 7の最大の変更点は、フロントエンド開発環境が刷新されてNode.jsを用いない構成がデフォルトとなったことでしょう。 Rails 6では、優れたフロントエンド開発環境を実現するためにトランスパ

                  Rails 7.0正式リリース、Node.js不要のフロントエンド開発環境がデフォルトに
                • Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ

                  Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 関連記事 最終的にDDoS攻撃に効果を発揮した設定を下記記事で紹介しています。 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われ

                    Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
                  • サーバーセキュリティ構成の話 - Chienomi

                    序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ

                    • 【アップデート】Amazon CloudFront を経由しないアクセスのブロックが簡単になりました | DevelopersIO

                      ウィスキー、シガー、パイプをこよなく愛する大栗です。 先程のアップデートで CloudFront の IP アドレスが Managed Prefix List でサポートされました。これにより CloudFront を経由しない不正なアクセスを簡単に弾くことが可能になります。CMS など CloudFront を使う機会が多いサービスではぜひご利用ください。また CloudFront で AWS WAF を使ってセキュリティを向上している場合の迂回路を塞ぐことができます。 Amazon CloudFront now supports a managed prefix list CloudFront を経由しないアクセス 今まで AWS で CloudFront を経由したアクセスだけ強制させる場合は、CloudFront ではカスタムヘッダを付与して、その値を ALB や Web サーバで

                        【アップデート】Amazon CloudFront を経由しないアクセスのブロックが簡単になりました | DevelopersIO
                      • メンテナンス画面の表示方法いろいろ | 外道父の匠

                        コンテナの話(AWSコンテナ系アーキテクチャの選択肢を最適化する)をした時にメンテナンス画面の表示についても軽く触れました。 改めて整理すると他にもいろいろあるということで、上から順に超ザックリと並べていきたいと思います。一応 AWS でを想定していますが、一般的な方法論でもあるので、どこだろうと何かしらの足しにはなるかもです。 条件 どのようなメンテナンス状態にしたいかによりますが、満たすべき条件はおそらくこのようなものがありますよ、ということで整理します。 1回の変更操作で、一括したメンテインを保証すること 管理者はメンテにならず通常アクセスする手段があること メンテ機能の仕込みによって悪影響がないこと 希望するメンテ用レスポンス内容を実現可能であること 静的 or 動的 Status Code 503 Content-Type レスポンス・サイズ 例えば DNS のレコード値を変更し

                          メンテナンス画面の表示方法いろいろ | 外道父の匠
                        • 正規表現ミスって一晩誰もサービスにログインできなくしてしまった話 - Qiita

                          はじめに この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023の11日目です。 どうも、@_tinojiと申します。実に4年ぶりにアドベントカレンダーに参加しました。 正規表現で1文字消し忘れて、なんぴとたりともサービスにログインできない状態にしてしまったという話をします。正規表現にはまじで気をつけましょうという教訓になれば・・・ 犠牲となったログイン画面 とあるtoBなWebサービスを開発していたときの話です。法人のユーザーが使う管理画面的なイメージです。 当然ログイン機能があって、至って普通なログインなのですが1つだけ特徴がありまして、ログイン画面のURLをアカウントごとに変えています。https://example.com/<uuid>/loginみたいな感じですね。 あまり見ない形式ではありつつも、個別のUUIDを特定されない限りログイン画面に対し

                            正規表現ミスって一晩誰もサービスにログインできなくしてしまった話 - Qiita
                          • AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ? - カミナシ エンジニアブログ

                            どうも Security Engineering の西川です。好きなポケモンはクワッスです。カミナシ社内に遂にポケモンカード部ができまして、部員同士切磋琢磨し始めています。いつか企業対抗ポケモンカード大会をするのが夢です。 さてさて、皆さんは AWS WAF(Web Application Firewall、以下 WAF)を使っていますか?サービスに WAF を導入する際は一定期間 COUNT モードで運用することがセオリーとされています。では、COUNT モードから BLOCK モードに切り替える時に何をもって BLOCK モードへの切り替えを判断していますか? 本記事はつい先日リリースされたカミナシ従業員というサービスを開発しているメンバーから「WAF(Web Application Firewall) を COUNT モードで動かして一定期間経ったのだけど、どのルールを BLOCK

                              AWS WAF を COUNT モードで動かしたはいいが、その後どうすればいいんだっけ? - カミナシ エンジニアブログ
                            • GPT-3 API を使って AI WAF を作る - まったり技術ブログ

                              ※ネタ記事です はじめに 検証する脆弱性 Tips. GPT-3 とは? WAFの実装 環境・必要なもの ソースコード 検証 正常リクエスト XSS GETパラメータ POSTデータ POSTデータ & ヘッダ無し SQL インジェクション GETパラメータ GETパラメータ & ヘッダ無し XXE POSTパラメータ① POSTパラメータ② POSTパラメータ & ヘッダ無し パストラバーサル GETパラメータ GETパラメータ & ヘッダ無し OS コマンドインジェクション GETパラメータ & ヘッダー無し GETパラメータ Log4Shell POSTパラメータ POSTパラメータ & ヘッダ無し POSTパラメータ & ヘッダ無し WordPress のユーザ列挙 ShellShock まとめ はじめに 最先端(?)であるGPT-3を使って 次世代WAF を作っていきます。 以下

                                GPT-3 API を使って AI WAF を作る - まったり技術ブログ
                              • Lambda サブスクリプションフィルター + AWS WAF で実現する「フルリモートワーク時代のお手軽社内サイト」 - Qiita

                                本記事は AWS LambdaとServerless Advent Calendar 2021 の4日目です。 たまたま空きがあることに気付いたため、せっかくでしたらと急遽参加させていただきます! よろしくお願いいたします 🙇 こんにちは。Togetter を運営しているトゥギャッター株式会社でエンジニアをしている @MintoAoyama です。 Togetter はツイートを始めとした様々な情報を組み合わせてコンテンツを作り出すキュレーションサービスです。 2009年に誕生してから今年で13年目に突入し、現在も月間PV約1億、月間UU約1500万という規模感で成長を続けています。 そんなトゥギャッター社もコロナ禍に入り、全従業員がフルリモートワーク体制に移行しました。 もっとも、以前からリモートワークは実施されていました。オフィスは東京ですが地方からフルリモートで出勤されているメンバ

                                  Lambda サブスクリプションフィルター + AWS WAF で実現する「フルリモートワーク時代のお手軽社内サイト」 - Qiita
                                • AWS WAF を急に導入することになったときに参考にした資料まとめ | DevelopersIO

                                  急ぎのご依頼で AWS WAF の導入を支援をする機会がありました。本当に急な話だったので準備する時間もなく必要な設定の資料を都度見繕っていたので、また急に依頼されたときに備えて今回の対応で必要だった資料をまとめます。 AWS WAF を急に設定することになったあなたへ向けの記事です。 応急処置として以下の構成に AWS WAF を急遽導入することになったときのお話です。 2023/3/8追記 非常に良い記事でしたので紹介します。こちらもご覧ください。 状況と対応内容 Webサイトに不正なアクセスを受けていることがわかり、AWS WAF を導入して急場を凌ぎたい。 WordPress が起動している(Webサイトを提供しているサービス) 不正なアクセスはCloudFront経由と、Classic Load Blancerから直接の2パターン確認されている Classic Load Blan

                                    AWS WAF を急に導入することになったときに参考にした資料まとめ | DevelopersIO
                                  • AWS WAF でアクセス数が一定回数を超えた IP アドレスを自動的にブラックリストに追加させる方法 | DevelopersIO

                                    お問い合わせを頂くことの多い、AWS WAF のレートベースのルールの設定方法を手順を追って紹介します。 困っていた内容 自社サービスの特定の URL に対して、数日間で数百の IP アドレスから大量の不正アクセスを受けています。 攻撃元 IP アドレスを自動的にブラックリストに追加させる方法がありましたら教えてください。 どう対応すればいいの? AWS WAF の レートベースのルール を設定してください。 より細かい制御を行いたい場合は、AWS WAF セキュリティオートメーションの導入をご検討ください。 AWS WAF のレートベースルールとは AWS WAF のレートベースのルールを設定すると、AWS WAF が発信元 IP アドレスのリクエスト数をカウントし、設定したしきい値を超えるリクエスト数が確認された際に対象の IP を自動でブロックできます。 現在は 5 分間あたり 10

                                      AWS WAF でアクセス数が一定回数を超えた IP アドレスを自動的にブラックリストに追加させる方法 | DevelopersIO
                                    • 本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開)

                                      おまたせしました この度、ついにこの記事を完成させることができました。これは私が数年前からずっと書きたいと思っていた、ウェブのアクセスログに対する、機械学習を使った異常検知の実例です。私は事あるごとに(※1)「情報セキュリティ分野でもデータサイエンスの技術は非常に重要だ」と繰り返していますが、この記事の内容はまさにその1つの証となると思います。この記事で示される内容を見れば、「うわ、機械学習、マジでヤバイい(語彙力)んだな...」となるでしょう。以下に心当たりのあるセキュリティエンジニアはぜひ読んで、そして実践してみてください。 機械学習に興味はあるものの、どこから手を付ければよいのかイメージがわかない 本当にAIやデータサイエンス、機械学習がセキュリティの分野で役に立つのか、確信がもてない データサイエンスや機械学習は難しそうだと思っている ログ解析において、grepや単純な統計処理より

                                        本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開)
                                      • WAFを活用する上で入れておきたいファイアウォールのルール定義 - STORES Product Blog

                                        プロダクト基盤本部の藤原です。 本エントリではWAF(Web Application Firewall)を活用していく上で、最初に導入をお勧めするファイアウォールルールを解説します。 WAFとは WAF(Web Application Firewall)とはWebアプリケーションに特化したファイアウォールです。 HTTPリクエストのヘッダやボディの内容から不審なリクエストを判別し、アクセスをブロックすることを目的としています(図1)。 図1 WAFの役割 WAFの活用を通じて実現したいこと WAFの活用を通じて実現したいことはなんでしょうか。 悪意のあるリクエストや不審なリクエストからアプリケーションを保護することでしょう。 不審なリクエストとしては、宛先が合っていないリクエスト(HTTPのホストヘッダを誤っている)1や、スクリプトキディ的なものから攻撃対象を精緻に分析したものまでさまざま

                                          WAFを活用する上で入れておきたいファイアウォールのルール定義 - STORES Product Blog
                                        • S3 + CloudFront でホスティングしている静的 Web サイトをメンテナンス状態にする

                                          はじめに AWS S3 を用いてホストしている Web サイトで任意の期間だけメンテナンス画面を表示したいという要件がありました。 構成としては、前段に CloudFront をかましていているだけのシンプルな構成です。 細かい設定としては、S3 オリジンは静的 Web サイトホスティングを有効にし、CloudFront からのアクセスしか受け付けないように設定しています。 この記事では、上記の構成でどうやってメンテナンス画面を実現するかということをメインに考えていきます。 やりたいこと 実現するにあたりメンテナンス時の要件を整理してみます。 一般ユーザが Web サイトにアクセスするとメンテナンス画面を表示させたい。 管理者や開発者など特定の IP アドレスによるアクセスは許可し、通常通り操作できるようにしたい。 どうやって実現するか 結論から言うと、CloudFront に WAF の

                                            S3 + CloudFront でホスティングしている静的 Web サイトをメンテナンス状態にする
                                          • セキュリティ強化して弊社は万全だ!と思っていたら数年後に事件が起きてしまった話→なんという金の無駄…

                                            たか@コールセンター担当 @ta_ka159R9 自作PC関連・DIY家具・EOS M6 Mark2・アニメ(銀英/新作系・SF系)・ゲーム(PCオンライン系/FF14)ついて適当につぶやきます。また、重度の妹病を発動することありw 一応、元留学生で既婚の社会人(どっかの会社の社内SE)です~。比較的、五月蠅いかも? たか@IT土方 @ta_ka159R9 弊社で起きた事・・。 ①WAFを導入!セキュリティーも万全! ②数年後・・アタック発生!WAF入れていなかった? ③WAFから危険だから修正しろと言うアラートが何年も前から表示されていたらしい? ④そのアラートをもとに対応する人もログを監視するチームもありませんでした! ⑤社長ガチギレ!

                                              セキュリティ強化して弊社は万全だ!と思っていたら数年後に事件が起きてしまった話→なんという金の無駄…
                                            • 「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威

                                              コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 アプリのマイクロサービス化とAPIの関係 世界中のWeb通信を中継しているAkamai Technologies (以下 Akamai)が取り扱う通信の8割以上は、すでにAPIの通信が占めている。 APIを利用するスマートフォンやブラウザアプリが普及の後押しをしているのは間違いないが、近年ではサーバ側のマイクロサービス化(あるシステムを小規模なシステムを組み合わせて開発する手法)の影響も大きい。 日本も同様だ。商用のWebアプリケーション開発者に話を聞くと「いま開発中のWebアプリやスマホアプリのサーバ

                                                「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
                                              • 「わたしはロボットではありません」的なパズル(CAPTCHA)をAWS WAFで設定できるようになりました | DevelopersIO

                                                ドキュメントをながめていたところ、AWS WAFでCAPTCHAが利用可能になったようです! CAPTCHAって何? CAPTCHAはCompletely Automated Public Turing test to tell Computers and Humans Apartの略で、簡単に言ってしまうとWebサイトへのリクエストがコンピュータによるものか人がアクセスしているのかを区別するためのテストです。 「私はロボットではありません」 という項目にチェックを入れて、難読な文字を入力したり、簡易的なパズルを行ったりした経験が皆さんあるかと思います。それです。 CAPTCHAチャレンジパズル ささっと検証したところでは3つのパズルを確認することができました。 視覚パズル 1つはカーソルをスライドし、右上に指示された図形と同じ図形を完成させます もう1つは、車のルートをたどり、最終地点に

                                                  「わたしはロボットではありません」的なパズル(CAPTCHA)をAWS WAFで設定できるようになりました | DevelopersIO
                                                • PythonのWebフレームワーク、どう選ぶべきか? Part.1

                                                  2019年9月16、17日、日本最大のPythonの祭典である「PyCon JP 2019」が開催されました。「Python New Era」をキャッチコピーに、日本だけでなく世界各地からPythonエンジニアたちが一堂に会し、さまざまな知見を共有します。プレゼンテーション「Python_Webフレームワーク比較」に登壇したのは、CMSコミュニケーションズ代表取締役の寺田学氏。講演資料はこちら PythonのWebフレームワークについて 寺田学氏(以下、寺田):それでは「Python Webフレームワーク比較」ということで、45分間のトークをしていきたいと思います。 資料は基本的に英語ですが、大事なところは日本語で書いています。もともと英語で発表したいという想いがあったんですけど、日本語で伝えたほうがいいなと思ったので、今日は日本語です。 私は寺田学といいます。CMSコミュニケーションズと

                                                    PythonのWebフレームワーク、どう選ぶべきか? Part.1
                                                  • 高度なコマンドインジェクション攻撃とその対策

                                                    はじめに ScutumはフルマネージドなWAFサービスなので、利用しているユーザさんが気づかない間にどんどん変化し、防御能力を強化しています。これらの強化された点について、これまではあまり宣伝や周知を行っていなかったのですが、今後は少しずつ、このブログでお知らせしていこうと思っています。 防御を強化しているポイントはマニアックな細かなものから重要なものまで多岐に渡ります。今回紹介するのは、我々としてはかなりインパクトがあると考えているものです。 2019年の秋に、コマンドインジェクションに対する防御能力を強化しました。コマンドインジェクションといっても普通のものではなく、比較的最近になって知られるようになった、「WAFを回避する」種類のコマンドインジェクションです。 WAFを回避するコマンドインジェクション 攻撃者とWAFの間では互いに「見つからないように」「見逃さないように」というイタチ

                                                      高度なコマンドインジェクション攻撃とその対策
                                                    • [要移行] AWS WAF Classic (v1)が2025年9月30日で終了します | DevelopersIO

                                                      しばたです。 前の記事は既に更新済みですが、2024年9月26日ごろから利用者向けにAWS WAF Classic (v1)のサービス終了が通知され始めています。 本記事では通知の詳細と既存リソースの移行方法を簡単に解説します。 詳細 通知の詳細は各自でご確認頂きたいのですが、最初の一文だけ引用すると We are contacting you because your AWS account has AWS WAF Classic resources. After careful consideration, we have decided to end support for AWS WAF Classic. Starting March 2025, you will not be able to create new WAF Classic WebACLs. On September

                                                        [要移行] AWS WAF Classic (v1)が2025年9月30日で終了します | DevelopersIO
                                                      • “脆弱性を突くような攻撃を防ぐ”だけではない「WAF」 「AWS WAF」の運用で現場が抱える課題

                                                        WAFで困るのは「直して」と言えないこと 清野隼史氏(以下、清野):ここからはもうちょっと現場レベルまで踏み込んでいきます。その中でも特にWAFのところにフォーカスをしてエピソードを聞きたいなと思います。このトピックでは、AWSの運用で現場が抱えている課題みたいなところを聞きたいなと思っています。こちらも佐竹さんに聞いてもいいですか? 佐竹陽一氏(以下、佐竹):はい。「AWS WAF」もしくは「WafCharm」を使っているという視点で話します。先ほど臼田さんが「Security Hubを使っている方」というアンケートをして、半分ぐらいの方が手を挙げられたことに「そんなにいるの!?」とむしろちょっとビックリしています(笑)。 (一同笑) 「意識高!!」と思ったんですけど(笑)。こういう課題は、もしかしたら現場の方も持っていると思います。 セッションの1個目のところでBookLiveさんが「

                                                          “脆弱性を突くような攻撃を防ぐ”だけではない「WAF」 「AWS WAF」の運用で現場が抱える課題
                                                        • 2020年になってもシグネチャ依存型のWAFが多いのはなぜか?

                                                          はじめに 以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどうかを見分けること、つまり「分類」です。分類が終わってしまえば、その結果に応じて通信を許可したり、禁止するだけでよいので、そこには技術的な意味での難しさはありません。 つまりWAFというのは「ソフトウェアが分類を行う場面」であり、いかにしてコンピュータ、ソフトウェアに上手に物事を見極めてもらうのか、分類してもらうのかという点が、よいWAFを実現するために必要な技術のコアになります。 あるHTTPリクエストを見て、「ああ、これは攻撃だよね」と専門家が目で確認してわかる場合。果たしてソフトウ

                                                            2020年になってもシグネチャ依存型のWAFが多いのはなぜか?
                                                          • AWS WAF 導入時に考えた5つのこと

                                                            はじめに 先日新たにAWS WAFを導入をする機会があり、その際に改めて知ったWAFの知見について、より実用的な項目に絞ってまとめてみました。 いまや非常に多くの種類があるWAFルールの情報や、マネージドルールの便利さについて言及された技術ブログはよく見かけます。しかし導入時の設定内容のポイントや、「そもそも何を検討すべきか?」をまとめた記事は多くないと感じていたため、自分で書くことにしました。 ※ 以降ではすべてAWS WAFv2を想定した話であり、v2を省略してAWS WAFと書いています。 1. WAFルール・ルールグループの選択 AWS WAFの導入時に最初に考えることとして、ルールの選定や紐付けるリソース、動作モード、ログ出力などがあります。 ルールの選定は、つまるところ 「WAFで何がしたいのか?」 を決定することに等しく、多数のルールグループの中から、最適な複数のルールグルー

                                                              AWS WAF 導入時に考えた5つのこと
                                                            • Rustが敗北!?C++で書かれた新時代のWebアプリケーションフレームワーク「drogon」 - Qiita

                                                              つい昨日(日本時間では今日)、TechEmpowerが行っているWebアプリケーションのベンチマーク結果が更新されました。 なんと、Round 18ではRustのフレームワーク「actix-web」が2位以下に大差をつけて圧勝していたにも関わらず、Round 19ではさらにそれを上回るライブラリが出現しました。 その名もdrogon! 名前からして素晴らしいフレームワークの予感がしますが、Rustのactix-webとはどのような点で異なり、またどのようにしてこの速度を達成したのか気になったので調べてみました。 フルスタックのライブラリ drogonはフルスタックのWebアプリケーションフレームワークとして実装されています。つまり、(actix-webとは違い)データベースとのやり取りを行うAPIやJSON, ORM, HMRなどさまざまな機能が盛り込まれています。 一方actix-web

                                                                Rustが敗北!?C++で書かれた新時代のWebアプリケーションフレームワーク「drogon」 - Qiita
                                                              • AWS WAF のログ分析に関する考慮事項 | Amazon Web Services

                                                                Amazon Web Services ブログ AWS WAF のログ分析に関する考慮事項 2022年11月 アップデート: マネージドルールグループ内のルールに個別に Action を設定できるようになりました。その結果、 “EXCLUDED_AS_COUNT” ではなく “COUNT” としてログ出力できるようになりました。 新たなルールの Action として、Challenge が追加されました。 本記事は、2022年11月のアップデート以前のログの仕様に基づいています。最新の情報はデベロッパーガイドを参照ください この投稿では、AWS ウェブアプリケーションファイアウォール (AWS WAF) を初めて利用される方が 、ログ分析にあたって考慮すべき事項について説明します。 WAF のログは、攻撃検知の分析やチューニングには欠かせないものです。ログの分析ではウェブ ACL に設定し

                                                                  AWS WAF のログ分析に関する考慮事項 | Amazon Web Services
                                                                • シグネチャ依存型のWAFは避けよう

                                                                  はじめに 先日、とあるScutumを利用中のお客様からうれしいフィードバックを頂きました。 「ウェブサーバをオンプレからクラウドに移した際に、WAFを(一時的にScutumをやめて)そのクラウドにメニューとして用意されていたWAFに切り替えてみたところ、誤検知が多発して本当に苦労した。Scutumがいかに楽なのかが実感できた」というものです。そのお客様はその後、そのクラウドのWAFから、再びScutumに戻ってきてくれました。 最近では著名なクラウドサービスにメニューとしてWAFがあるようですが、私が知っている範囲では、それらの多くは「シグネチャ」あるいは「ルール」を使って攻撃を見つけようとする種類のWAFのようです。本ブログではこれらの「シグネチャあるいはルールのみによって防御を行う」タイプのWAFを、「シグネチャ依存型」のWAFと定義します。 シグネチャ依存型のWAFは2020年という

                                                                    シグネチャ依存型のWAFは避けよう
                                                                  • SOCアナリストによるWAF解説 | 技術者ブログ | 三井物産セキュアディレクション株式会社

                                                                    今回は、WAF(Web Application Firewall)についてご紹介したいと思います。 WAFの解説サイトは多くありますが、WAFは、理論としては分かっていても、実際に触ってみないと具体的にどういったものなのか分かりづらい製品かと思います。弊社のWAFを検討されているお客様からも「WAFとIPSの違いがいまいち分からない」といった声をよく頂きます。 そこで、 WAFの具体的な仕組み、製品の種類/特長、チューニング、WAFの効果について、 SOCベンダーの観点も交えてご紹介します。 WAFの対象範囲 まずは一般的な説明からとなってしまいますが、Webアプリケーションを外部からの攻撃から守るためのセキュリティ製品は、主に、ファイアウォール、IPS、WAFが挙げられます。それぞれ、役割・対象範囲が異なっています。 図1.各機器の対象レイヤー/プロトコル例 ファイアウォールは、機能とし

                                                                      SOCアナリストによるWAF解説 | 技術者ブログ | 三井物産セキュアディレクション株式会社
                                                                    • インターネットからのイングレストラフィックフローのためのファイアウォールのデプロイ設計 | Amazon Web Services

                                                                      Amazon Web Services ブログ インターネットからのイングレストラフィックフローのためのファイアウォールのデプロイ設計 この記事は Design your firewall deployment for Internet ingress traffic flows (記事公開日:2021 年 2 月 21 日)を翻訳したものです。一部更新・加筆しています。 前書き インターネットに接続するアプリケーションを公開するには、外部の脅威や不要なアクセスから保護するためにどのようなセキュリティ管理が必要かを慎重に検討する必要があります。これらのセキュリティ管理は、アプリケーションの種類、環境の規模、運用上の制約、または必要な検査のレイヤによって異なる場合があります。ネットワークアクセスコントロールリスト (NACL) とセキュリティグループ (SG) を実行すると十分な保護が得られ

                                                                        インターネットからのイングレストラフィックフローのためのファイアウォールのデプロイ設計 | Amazon Web Services
                                                                      • AWS WAF の検知結果を Slack 通知して誤検知に対処しよう

                                                                        Leaner 開発チームの黒曜(@kokuyouwind)です。 先日会社のポッドキャストでこくぼさんと一緒にお話させていただきました。 ポッドキャストは初体験なのでドキドキしながら収録しましたが、評判が良いようで嬉しいです。 AWS WAF について (>ω<)わふー! みなさん AWS WAF は使っているでしょうか? Web アプリケーションは HTTP ポートをインターネットに露出しているため、 SQL インジェクションやファイル読み出しなど様々な攻撃に晒されてしまいます。 SSH ポートなどはそもそもインターネットから到達できないようセキュリティグループで制限すればよいのですが、 Web アプリケーションは不特定多数から HTTP リクエストを受けるのが仕事なので、アクセスを弾くわけにもいきません。 こうした攻撃を防ぐのが WAF(Web Application Firewall

                                                                          AWS WAF の検知結果を Slack 通知して誤検知に対処しよう
                                                                        • [アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO

                                                                          本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト(Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域

                                                                            [アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました | DevelopersIO
                                                                          • AWS WAFによるリクエストとレスポンスのカスタマイズ | Amazon Web Services

                                                                            Amazon Web Services ブログ AWS WAFによるリクエストとレスポンスのカスタマイズ ※2021年9月22日 ALB リスナールールでのリクエストタグ付けのユースケースは、すべてのケースに当てはまらないため削除しました。 AWS WAF は 2021年 3月にカスタムレスポンスとリクエストヘッダー挿入をサポートしました。このブログでは AWS WAF をカスタマイズして、アプリケーションのユーザー体験及びセキュリティを向上させる方法を紹介します。 HTTP レスポンスコードは、クライアントのリクエストに応じてサーバーが送信する標準のレスポンスです。AWS WAF がリクエストをブロックすると、クライアントに送り返されるデフォルトのレスポンスコードは HTTP 403(Forbidden) となります。HTTP 403 レスポンスコードは、Web サーバーのエンジンのデフ

                                                                              AWS WAFによるリクエストとレスポンスのカスタマイズ | Amazon Web Services
                                                                            • Sinatra(Ruby製軽量フレームワーク)の使い道を本気で検証してみた - ANDPAD Tech Blog

                                                                              この記事は ANDPAD Advent Calendar 2022の 20 日目の記事です。 こんにちは、アンドパッドに今年の 9 月に入社しました、 田上(shuntagami)です。アンドパッドでは図面チームに所属していて、主にサーバーサイドを担当しています。Ruby と Rails を使うことが多く、Go や TypeScript を書くこともあります。 本記事の概要 以下のようなケース 将来的に規模が大きくなることも想定されるアプリケーションの API サーバーを 0 から開発する際のメインフレームワークとして 既存の大きく成長した Rails アプリケーションの一部をマイクロサービスとして切り出したいケース において Ruby 製の軽量フレームワーク Sinatraを採用することが生産性高く開発を行う上で最適解のひとつになるのではと考え技術検証してみた、という記事です。経緯として

                                                                                Sinatra(Ruby製軽量フレームワーク)の使い道を本気で検証してみた - ANDPAD Tech Blog
                                                                              • Cloud Armor の WAF ルールで Apache Log4j の脆弱性対策をする

                                                                                (2021 年 12 月 14 日 21:00 JST 追記:WAF ルールのチューニングについて続編を書きました) Google Cloud Japan Advent Calendar 2021 の 12 日目…ではありません。(12 日目の記事はこちらです。お、たまたま脆弱性関連ですね。) 年の瀬も差し迫った 2021 年 12 月 10 日(金)、Apache Log4j 2 の脆弱性に対するゼロデイ攻撃が可能であることが明らかになりました。 Google Cloud の WAF サービスである Cloud Armor でも、本脆弱性への対策の一つとして使える WAF ルールがリリースされたのでご紹介します。 Cloud Armor WAF rule to help address Apache Log4j vulnerability | Google Cloud Blog

                                                                                  Cloud Armor の WAF ルールで Apache Log4j の脆弱性対策をする
                                                                                • インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ

                                                                                  こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー

                                                                                    インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ

                                                                                  新着記事