WAF

色々な書籍が、Webサイトの防御方法をアレコレ書いてますがhtmlspecialchars関数とか言うのがPHPファイルの中に書いてあるだけで大分違うみたい。 オリジナリティ溢れる防御をすればするほど、破られた時の責任は大きいし、脆弱性を見つけてくれる他人も機関も無かったりする。 個性のないやり方であれば脆弱性が発見された時、瞬く間に対策が発表される。と、言うあたりを経営陣が理解して、トップダウンで技術者の独走を防ぐために僕は何をどう啓蒙すれば良いのかなあ。。。ひとまず防げてるけど、何によって防げているか分かりませんだと、投資の計画建てられないでしょ。ITに投資すると税金が浮く 時代は終わると…

皆さん、こんにちは。 ペンタセキュリティでは、この度セキュリティのエキスパートによる脆弱性診断と95カ国から収集した独自の脅威インテリジェンスを利用できるサービス「Cloudbric 脆弱性診断」を開始いたしました！ ということで、クラウドベースのトータルWebセキュリティ対策を提供する当社が、セキュリティ対策の第一歩、「脆弱性診断サービス」、その選定基準は？をテーマに、Webセミナーを実施いたしました。 こちらからフルバージョンの動画をご覧いただけますので、本セミナーを見逃した方や脆弱性診断サービスの導入を検討されている方は是非チェックしてみてください！ www.youtube.com 本記…

はじめに 業務でAWS WAFを使うことになりBot Controlを使うなどして 悪意あるアクセスでないか制御することになりました。 CloudWatch Metricsで集計しようとしたところ、まずは「CloudWatch Logs」にログを溜めないといけないのでそのやり方でハマったのでメモします。 やり方 参考ページにもあるが aws-waf-logs- で始まる必要があるということです。 例えばサービス名が ec-site だった場合 aws-waf-logs-ec-site とするのが良さそうです。 最初わからず適当に名前をつけても選択肢に出てこず悩んでしまいました。 参考 Amaz…

皆さん、こんにちは。 この度、ペンタセキュリティでは、Webアプリケーションへのサイバー攻撃対策として注目されている「WAF（Web Application Firewall）」にフォーカスし、多様化するサイバー攻撃から企業を守る「WAFの必要性」ホワイトペーパーを発行いたしました。 2022年には、大手企業のサプライチェーンなど、中小企業を狙ったサイバー攻撃が急増するなか、攻撃を受けていることに気づかないまま、個人情報が漏洩してしまったり、システムが停止して何もできなくなったりするケースも見られました。2023年にはサイバー攻撃の手法は更に大規模かつ複雑に進化していくことが予想されています。…

日々熱を増していくサイバー攻撃に対して、企業規模を問わず「セキュリティ対策」の必要性が叫ばれています。今回は「中小企業のホームページ」に焦点を当て、セキュリティ初心者のWeb担当者でも実行可能なセキュリティ対策を紹介していきたいと思います。 中小企業のホームページでも、セキュリティ対策をすべき？ この記事をご覧の方の中に「サイバー攻撃は大企業が被害に遭うもの」「うちみたいな小さな企業のホームページなんか狙われない」といった認識をお持ちの方がいれば、一度以下の記事をご覧いただければと思います。 大企業と比較して中小企業はいまだにセキュリティ意識が低く、対策が進んでいないところが多いです。それなり…

皆さん、こんにちは。 2022月4月、3年ぶりに個人情報保護法の改正法が実行されました。 昨今、企業内部からの個人情報漏えいが増加していることから、改正個人情報保護法について企業の関心が高まっています。改正法が実行されてから約6カ月が経ちましたが、実際にどういった対策をしていけばよいかなどに対して悩んでいる方も多いのではないでしょうか。 ということで、ペンタセキュリティでは、改正個人情報保護法に関し、特にセキュリティ分野において、お客様のセキュリティ対策導入・施行をご支援すべく、ホワイトペーパーを発行いたしました。 本資料では、6つの改正ポイントを分かりやすく解説しながら、事業者の義務や罰則な…

タダです. AWS WAF のマネージドルールを運用していると,これまではブロックされなかったアクセスがブロックされる経験があります.その中にはアクセスを通したいリクエストもあったりするのですが,ルールを緩めずにアクセスを通したいと思い,スコープダウンステートメントを使う機会があったのでこの記事でやったことをまとめます. スコープダウンステートメントとは スコープダウンステートメントの設定 まとめ スコープダウンステートメントとは スコープダウンステートメントはルールが評価するリクエストのスコープを絞れます.今回はマネージドルールにブロックされたリクエストの中でも特定の IP アドレスからのリ…

先日、ニュース記事を閲覧していると気になるニュースが飛び込んできた。 internet.watch.impress.co.jp それが上記である。この記事で気になったのは漫画の海賊版がダウンロードできるURLへのリンクを大量に掲載していたリーチサイト「13DL」が利用していた「Cloudflare」である。このサービスは以前から注目していたので、今回はChatGPTに違法WebサイトとCloudflareの関係や懸念に詳しく解説してもらう。 Cloudflareは、ウェブサイトのセキュリティとパフォーマンスを向上させるためのサービスを提供している企業です。Cloudflareは、DNS（Dom…

こんにちは、Product Teamのあやぴーです。 今回はここ1年くらい私のいるチームで使っているF#とASP.NET Coreを使ったAPI開発について簡単にまとめていきます。 目次 目次 F#ってなんだ？ なぜ、今F#を採用したのか Minimal APIを使って、APIをつくる アプリケーションの雛形をつくる 任意のHTTPステータスとJSONレスポンスを返却する ルートパラメータやJSONボディの受け取り方 最後にF#を採用してみた雑感 F#ってなんだ？ F#はMicrosoft(MSFT)が開発した、いわゆる関数型言語の特徴(第一級関数,イミュータブルデータなど)を持つ言語です。.…

調べたことをつらつらと書いていきます。私自身の知識があやふやな部分のみまとめてるので網羅性はありません。 あくまで試験に合格することが目的なので深入りしていません。あと、個人の理解で書いてるので間違ってるかも。 受験日までこの記事を成長系ドキュメントとして更新していきます。 CloudTrail ファイルの整合性の検証 オペレーションログ 証跡のクエリ 読み取り専用・書き込み専用イベント Trusted Advisor 他サービス連携 Config CloudTrail との使い分け Config について GuardDuty 外部IDでのコンソールアクセス AD Connector SAML…

今回はO'Reilly社から2020年に出版された Infrastructure as Code (2nd Edition) を読み、IaCに対するテストについて個人的に気になった箇所などを書き留めていきます。 www.oreilly.com 目的 前提 IaCとは 2つ目のCore Practice IaCをテストするうえでの課題 Challenge: Tests for Declarative Code Often Have Low Value Challenge: Testing Infrastructure Code is Slow Challenge: Dependencies Co…

はじめに こんにちは！atlax編集部 中の人です。2023年4月20日（木）、21日（金）の 2日間にわたり開催された、延べ 35,000 人が参加する日本最大の 「アマゾンウェブサービス（AWS） を学ぶイベント」、 AWS Summit Tokyo に参加してきました。今年は4年ぶりとなるリアルイベントとして幕張メッセで開催され、株式会社野村総合研究所（以下「NRI」）は、ゴールドスポンサーとして協賛し、イベント期間中に ブースを出展しました。今回はAWS Summit Tokyo の会場の様子やパートナーセッション「専用 AWS Organizations 環境提供から獲得したマルチア…

Hello there, ('ω')ノ トリプル URL エンコードで XSS を発見した方法を。 脆弱性： XSS WAF バイパス 記事： https://medium.com/@mohammed01550038865/how-i-discovred-xss-via-url-encode-3-times-86ccd5354081 今回は、トリプル URL エンコードとバイパス WAF を介して XSS を発見した方法に関するレポートで。 まずは Recon から始め。 偵察はバグ報奨金の最も重要な部分なので、偵察には時間をかけて サブドメイン、エンドポイント、パラメータを収集し。 サブドメ…

セキュリティ 469 206 20 脆弱性 脅威がつけ込むことができる弱点。セキュリティホールとも。0 情報資産 企業が組織が保有している情報全般0 脅威 情報資産に損害を与える恐れ。0 物理的脅威 火災や地震、侵入者による機器の破壊や盗難など、直接的に情報資産が脅かされる脅威0 技術的脅威 ウイルス、不正アクセス、サーバへの攻撃などにより情報が漏えいしたり失われたりする脅威0 人的脅威 ミスによるデータや機器の破壊、内部犯による確信的な犯行によって情報資産が漏えいしたり失われたりする脅威0 ヒヤリハット 結果として事件・事故には至らなかったが潜在的に事件・事故につながりかねない事象を指す1 …

目次 目次 はじめに 筆者のスキルセット 受験までにやったこと 試験ガイドを読む 書籍 AWS公式ドキュメント ハンズオンとワークショップ スキルビルダー サンプル問題 ANS受験した感覚 反省点 最初から長文に真正面から解こうとしたこと エアコン対策 テストセンター（オフライン）で受験するのが望ましい 要件に沿った設計や運用を考えることができていない 今後はどうする？ 最後に はじめに 3月と5月にAWS Certified Advanced Networking - Specialty(ANS-C01)を受験しました。 2回とも「不合格」 ※1回目：695点、2回目：722点 AWS認定で…

はじめに こんにちは、クラウドエンジニアリング部の本橋です。 アーキテクチャの構成を学ぶことが多いのですが、ふと実際に環境を構築したくなりました。 せっかくなので汎用的に使えそうな構成（根拠はまったくない）を作りつつ細かいところの理解をできたらと思っています。 最終的なゴール いきなりですが、以下の構成を目指して作ることを考えています。 （細かいところはほとんど考えておらず、最終的にどうなるかは詰められてません） 暫定の最終構成図 詳細を全く考えていないので、上記構成をさらに拡張したり、逆に縮小することがあるかと思いますが、ご承知おきください。 構成に変更があれば最後まで環境構築を完成させた後…

あなたがウェブサイトやブログを運営したいと考えているなら、お名前.comのレンタルサーバーサービスが最適な選択です。なぜなら、このサービスは使いやすさと高機能の両立を実現しているからです。 1円で始められる独自ドメインとサーバー お名前.comでは、独自ドメインとサーバーが1円で始められます。さらに、SSLも無料で提供されています。これにより、初期コストを抑えつつ、安全なウェブサイト運営が可能です。 WordPressに最適な環境 WordPressの利用者にとって、お名前.comは理想的な環境を提供します。インストールや引越しが簡単で、テスト環境での作成・編集も可能です。これにより、スムーズ…

はてなブログ独自の集計による人気記事のランキング。5月14日（日）から5月20日（土）〔2023年5月第3週〕のトップ30です*1。 # タイトル／著者とブックマーク 1 【第１話】履歴書 - 脳外科医 竹田くん by id:dr-takeda 2 「勉強法の勉強会」、エンジニアの勉強ノウハウをいくつも知られる"神"勉強会でした（みんなアーカイブぜひ見て！） #YUMEMIxTORALAB - nikkie-ftnextの日記 by id:nikkie-ftnext 3 エンジニアのためのChatGPTプラグイン3選+1 - きしだのHatena by id:nowokay 4 脳外科医 竹田…

はじめに ウェブアプリケーションの運用で、ログを解析するとき、 解析専用サーバを構築したり、有料の解析ソフトを使うケースが一般的だと思うが、 生ログをエクセルなどで解析するケースも稀ではないように思う。 たとえば、ALBのアクセスログはS3に保存することができるが、 ファイルは5分毎に分割され、gz形式で圧縮されているため、ログの中身を見るには多少手間がかかる。 Amazon Athenaでは、S3のログを、分割され圧縮された状態でも、 とくにそういったファイルの状態を意識することなくデータの抽出を行うことができる。 そこで本稿では、S3に出力されたログに対し、Amazon Athenaを使っ…