ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2008-05-23 ねむ

[]畳 畳を含むブックマーク 畳のブックマークコメント

http://sankei-hito.iza.ne.jp/blog/entry/582238/

うち帰ってみてみるためのメモ

IkegamiIkegami 2008/05/23 16:19 いかん。思わずダウソしてしまった・・・。orz

ikepyonikepyon 2008/05/23 16:30 引っかかった人がw

トラックバック - http://d.hatena.ne.jp/ikepyon/20080523

2008-05-22 そこにしびれるぅ!あこがれるぅ!

HackerSafeのダメさ加減がよいなぁw

[]PCI DSS Deadline Looming Large While Debate Continues - WAF vs VA PCI DSS Deadline Looming Large While Debate Continues - WAF vs VAを含むブックマーク PCI DSS Deadline Looming Large While Debate Continues - WAF vs VAのブックマークコメント

http://devcentral.f5.com/weblogs/macvittie/archive/2008/05/14/3260.aspx

ちと読んでみる。

[]誤ったWAFの使い方 - 国連でも誤ったWAFの使い方 - 国連でもへを含むブックマーク 誤ったWAFの使い方 - 国連でもへのブックマークコメント

ちと、幾つか気になったことがあったので。

WAFを導入してもアプリケーション脆弱性を完全に保護することは不可能です。WAFの防御方法はブラックリスト方式であるため予め分かっている脆弱性しか保護できません。

F5のApplication Security ManagerやCitrixのCitrix Application Firewallではホワイトリスト方式です。金床さんのGuardian@JUMPERZ.NET(http://guardian.jumperz.net/)でもホワイトリスト書けそうですね。ただ、パラメータの数だけホワイトリストを作成するのが非常に面倒ですw

商用のWAFは一定期間トラフィック学習させることでホワイトリストを作成するようにしていることが多いみたいです。

多分、ブラックリスト方式のWAFは少ないんじゃないでしょうか?

アプリケーションロジックに誤りがあってもWAFには判別不可能です。例えば、権限を持たないユーザが本来参照または変更できてはならないデータを参照・変更できてしまう。認証済みのユーザだけが利用できる機能が認証無しで利用できてしまう。

これも製品によると思います。事前に指定した一定の画面遷移を経なければエラーとするような機能のあるWAFがあったと思います(違ったかな?)。後レスポンスの内容に例えばクレジットカード番号っぽいものなどが含まれていたらはじくような機能があるWAFもあります。

とはいえ、CookieユーザIDパスワードが含まれているとかその手の類のアプリケーションロジックについては対策できないのは同意です。

まあ、セキュリティチェックがWAF入れたからといって不要かというとそういうわけではなく、きちんと設定されているか?と言う確認の意味でも必要だと思います。

ちなみに、私はWAFって使ってうれしいとこ限られるんじゃね?って考えです。

WAFが有効な組織って、毎日のようにアプリ更新が頻繁にあるか、ホスティングサービスのようにチェックできない&修正できないアプリ存在するケースぐらいじゃないかと思うんですよ。それ以外の場合、本番稼動する前にしっかりテストして、しっかり直せばいいんじゃね?と思うんですよねぇ。

WAFって入れて終わりじゃなくて、設定に手間が非常にかかるし(下手すりゃコード修正するのと同じくらい)、商用のは高いしで結構敷居高いんだよねぇ。

実際WAFが出てかなり経つけど売れてるか?というとそれほど売れてないみたいだし・・・

yamagata21yamagata21 2008/05/22 18:34 WAF は、Webアプリケーション修正完了までの時間稼ぎに使ったり出来るので、レンタルサービスとかあれば良いのにねぇw (その場合、ホワイトリストの設定には手が回らないかも知れませんけどw)

あと、WAF によっては、Cookie を暗号化したり、hidden や select,radio などの値をリアルタイムで記憶して改ざんを検知したりするものがありますよ〜。

KanatokoKanatoko 2008/05/22 18:44 アプリもWAFも両方しっかりやるのはどうですか!

ikepyonikepyon 2008/05/22 18:55 WAFレンタルは考えたんですけどねぇ・・・やはり設定が面倒なので高くつくw
ああ、そういうの(改ざん検知)もありますね<yamagata21さん
お金があれば・・・w<Kanatokoさん

トラックバック - http://d.hatena.ne.jp/ikepyon/20080522

2008-05-21 あついっす

朝から電車は遅れるしorz

[]PCI DSS compliance: Web application firewall or code review?(from id:ripjyrさんとこ) PCI DSS compliance: Web application firewall or code review?(from id:ripjyrさんとこ)を含むブックマーク PCI DSS compliance: Web application firewall or code review?(from id:ripjyrさんとこ)のブックマークコメント

http://searchsoftwarequality.techtarget.com/news/article/0,289142,sid92_gci1313797,00.html

ご指名受けたのでw

これも後で読む

トラックバック - http://d.hatena.ne.jp/ikepyon/20080521

2008-05-20 眠すぎる

[]ガイアの夜明けネットの闇 〜有害サイトから家族を守れ〜」 ガイアの夜明け「ネットの闇 〜有害サイトから家族を守れ〜」を含むブックマーク ガイアの夜明け「ネットの闇 〜有害サイトから家族を守れ〜」のブックマークコメント

忘れないようにw今日の22時からはガイアの夜明けを見ないと。

http://www.tv-tokyo.co.jp/gaia/backnumber/preview080520.html

って忘れそうな気がする・・・

[]誤ったWAFの使い方 - 国連でも 誤ったWAFの使い方 - 国連でもを含むブックマーク 誤ったWAFの使い方 - 国連でものブックマークコメント

http://blog.ohgaki.net/waf#more993

後で読む

2008-05-19 自分のだめさ加減に嫌になるorz

欝だ

[]SQLインジェクションを考える SQLインジェクションを考える を含むブックマーク SQLインジェクションを考える のブックマークコメント

http://internet.watch.impress.co.jp/cda/special/2008/05/14/19538.html

http://internet.watch.impress.co.jp/cda/special/2008/05/15/19559.html

ここんとこSQLインジェクションはやっているからなぁ。

というわけで検査ツールですよw

http://webappsec.sakura.ne.jp/modules/xpwiki/

一応、シグネチャさえきちんと作れば、結構検出できるはずです。シグネチャの作り方等はググって見てくださいw

トラックバック - http://d.hatena.ne.jp/ikepyon/20080519

2008-05-01 探し物はなんですか?

やる気とお金落ちてないかなぁw

トラックバック - http://d.hatena.ne.jp/ikepyon/20080501

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |