wafに関するcubed-lのブックマーク (10)
-
cubed-l 2013/10/20
-
-
ASCII.jp:ベリサインの証明書バンドル「脆弱性アセスメント」でWAF斡旋
長く使えば使えほどその違いがわかる Seagate技術本部 本部長が語るBarraCuda 120 SSDの耐久性&信頼性が高い理由 有効期限の延長から製品認証キーの確認、インストールファイルのダウンロードまで ESETユーザーなら使わないのはもったいないサービス「CLUB ESET」利用ガイド LINEで簡単操作できるホームIoTサービスでお家を見守り&電気代も節約! 「ネコリコホームプラス」でインフルエンザや熱中症とは無縁の快適生活のススメ 画面を直接操作せずに利用できるカーナビアプリの安全性 「ながら運転が厳罰化」でスマホナビが全滅!? 音声操作ナビなら心配無用! 単体でももちろん便利だが、組み合わせて使うとさらに便利! ファーウェイのスマホとイヤホンとスマートウォッチで日常をレベルアップ! 確定申告ビギナーはここに注意! 【2020年提出】確定申告「もう損したくない!」やり
-
ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem's blog
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
-
フォーティネット、コンテンツの自動復旧や脆弱性検査が可能なWAFを発表
フォーティネットは、Webアプリケーションファイアウォールの新製品として、ミッドレンジ向けとハイエンド向けの2モデルを発表した。 フォーティネットジャパンは9月9日、Webアプリケーションファイアウォール(WAF)の新製品となるミッドレンジ向けの「FortiWeb-1000C」およびハイエンド向けの「FortiWeb-3000C」を発表した。最新ファームウェア「FortiWeb 4.0 MR1」の採用により、コンテンツの自動復旧や脆弱性の検査機能が搭載されている。 FortiWeb-1000Cは、最大スループットが500Mbps、HTTPトランクションが毎秒2万7000の性能を持つ。FortiWeb-3000Cでは最大スループットが1Gbps、HTTPトランクションが毎秒4万となり、大規模なデータセンターでの運用に耐える仕様となっている。 本製品は、Webシステムに存在するクロスサイトスク
-
「WAFでWebアプリの早期リリースが可能に」、米F5 Networks製品マネージャ | IT Leaders
インプレスビジネスメディアは2010年5月24日、米F5 Networksでセキュリティ分野のプロダクト・マネージャを努めるIdo Breger氏に、WAFの市場動向と、BIG-IP ASMの最新機能について聞いた。 ---WAFを取り巻く2010年現在の市場動向は。 Ido Breger氏: まず、守るべきWebシステムが増えている。Webサーバー側の変化としては、ここへきてレガシー・システムのWeb化が加速している。Webクライアント側の変化としては、タブレットPCやスマートフォンの浸透に見られるように、いつでもどこでも誰でもWeb化された業務システムにアクセスできる状況になってきている。 攻撃対象となるWebシステムの種類も増えてきた。特定の企業を対象とした攻撃だけでなく、不特定多数への攻撃を自動的に実施する動きが、ここ1年ほど高まっている。Webシステムをランダムにスキャン(走査)
-
シグネチャに頼らないWAFアプライアンス「WAPPLES」3製品、200万円台の低価格モデルも
ペンタセキュリティシステムズ株式会社(ペンタセキュリティ)は5月10日、Webアプリケーションファイアウォール(WAF)アプライアンス「WAPPLES」のラインアップに、3モデルを追加すると発表した。新たに提供されるのは、エントリー向けの「WAPPLES-50」と、ハイエンド向けの「同-2000」「同-5000」で、いずれも同日より提供を開始する。価格は200万円(税別)から。 WAPPLESは、Webアプリケーションの脆弱性を保護するために利用される、WAFアプライアンス製品。シグネチャを利用したパターンマッチングに頼らない、独自のロジック分析エンジンにより、攻撃者が狙う脆弱性を埋める手法を採用し、高い検出率と低い誤検知率を実現しているのが特徴だ。また、事前に設定されたポリシーを選択肢、26個のルールを設定するだけで検知設定を行えるなど、管理に要する手間が削減されていることから、他社製品
-
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
-
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では
-
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました