Suche senden
Hochladen
WAFすごい
•
0 gefällt mir
•
254 views
M
mkoda
Folgen
第31回 セキュリティ共有勉強会LT資料です。 (テーマ: 間違った常識)
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 19
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Recomendados
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
20160717 csc sec_bd
20160717 csc sec_bd
寛人 種市
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
Más contenido relacionado
Ähnlich wie WAFすごい
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
Future vuls introduction
Future vuls introduction
csig-info
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
クラウドセキュリティ
クラウドセキュリティ
softlayerjp
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
Kotaro Tsukui
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
Eiji Sasahara, Ph.D., MBA 笹原英司
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Lumin Hacker
Ähnlich wie WAFすごい
(20)
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Future vuls introduction
Future vuls introduction
The Shift Left Path and OWASP
The Shift Left Path and OWASP
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
クラウドセキュリティ
クラウドセキュリティ
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
【Securify】Partner program.pdf
【Securify】Partner program.pdf
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Último
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
Takayuki Nakayama
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析
sugiuralab
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG-Audio
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作り
iPride Co., Ltd.
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))
yoshidakids7
チームで開発するための環境を整える
チームで開発するための環境を整える
onozaty
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
IGDA Japan SIG-Audio
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
Naomi Yamasaki
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
iPride Co., Ltd.
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
honeshabri
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024
Hideki Saito
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313
ssuserf8ea02
Último
(12)
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作り
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))
チームで開発するための環境を整える
チームで開発するための環境を整える
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313
WAFすごい
1.
WAF すごいぞ? 2023/03/08 はるきち 第31回 セキュリティ共有勉強会 (テーマ:
間違った常識)
2.
Copyright ©︎ m.kouda
2023 幸田将司(はるきち): セキュリティエンジニア: - フリーランス - SecuriST(R) 認定診断士 試験委員 - 株式会社Levii - 合同会社blk.SMITH.LLC twitter: - @halkichisec Who am I?
3.
Copyright ©︎ m.kouda
2023 1. WAFってなぁに 2. 世間のギャップ 3. WAFすごいぞ Contents
4.
Copyright ©︎ m.kouda
2023 WAFってなぁに
5.
Copyright ©︎ m.kouda
2023 WAF(Web Application Firewall) Webアプリケーションを堅牢化する要素の1つ できること • シグネチャにマッチした攻撃を防ぐ • DoSの緩和 • オリジンサーバの隠蔽(クラウド型) できないこと • ロジック、仕様にかかる脆弱性 例1. 適当なマイナンバーでワク チン摂取の予約ができる 例2. 登録済みのユーザを親切に 教えてくれる (wordpress)
6.
Copyright ©︎ m.kouda
2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置 • Fortiweb WAF WAF WAF
7.
Copyright ©︎ m.kouda
2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
8.
世間のギャップ
9.
Copyright ©︎ m.kouda
2023 世間とのギャップ サイト運営者(非IT企業) • セキュリティはやらなければいけない • でもコストがかかる… • 対策の妥当性も確認できない。 • ググったらWAFというのがいいらしい。 そうだ、WAFいれよう WAFを紹介する 個人ブログ セキュリティ対策は これでヨシっと... インストールするだけで リスク対応可能 最新の攻撃パターンを 即座に検知します。
10.
Copyright ©︎ m.kouda
2023 セキュリティ業界とのギャップ セキュリティエンジニア • WAFは確かに便利・・・ • でも万能ではない(WAF迂回攻撃へ未対応) 確かにWebサーバへの無作為なスキャンは防ぐ • 👇こういうやつ • 👇こういうのは防げない "GET /index.php?name=OR 1=1 HTTP/1.1" 200 "GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200 ※URLデコード済み "GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200 "GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200 ※URLデコード済み
11.
Copyright ©︎ m.kouda
2023 セキュリティ業界とのギャップ セキュリティエンジニア(僕)的には... 多層防御の観点ではもちろん重要 ただ、導入コストに対するリターンが見込めないかな... • メンテナンスも必要 • パケット解析のオーバヘッドがある と考えていた時期がありました。
12.
Copyright ©︎ m.kouda
2023 WAFすごいぞ
13.
Copyright ©︎ m.kouda
2023 WAFのタイプ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
14.
Copyright ©︎ m.kouda
2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF 攻撃者のペイロードが 全てWAFを通過する HTTPより下位層の 脆弱性を利用されない www.example.com WebサーバはWAFのIPから 80ポート(HTTP)のみ inbound通信を許可
15.
Copyright ©︎ m.kouda
2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF WAFの振り分けは HTTPのHostヘッダを参照する [www.example.com] 本来ならいろいろ見えていた けど、まぁ大丈夫(よくない) DNSリバインディングも ついでに防ぐ www.example.com
16.
Copyright ©︎ m.kouda
2023 クラウド型WAFのメリット ホスト型に比べると... オリジンサーバの隠蔽 メンテナンスコストが安価 • シグネチャのアップデートが自動 • 各ホストにインストールしなくてOK • ついでにTLSのアップデートも不要 ネットワーク(アプライアンス)型に比べると... メンテナンスコストが安価 • シグネチャのアップデートが自動 導入費用も安い
17.
Copyright ©︎ m.kouda
2023 ちゃんと設定しないとちゃんとしくじる CDNやWAFを迂回される ポケ徹のクラウド型DDoS保護の迂回事例 CDN img.xxxxx.com AWS SAKURA Internet xxxxx.com
18.
Copyright ©︎ m.kouda
2023 クラウド型...なコンテンツ 某大手美容外科クリニックの例 オリジンサーバのIPを調べる方法もあるので完全隠蔽 でないことに注意 $dig www.s-b-c.net ;; ANSWER SECTION: www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net. www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net. e28430.a.akamaiedge.net. 15 IN A 210.132.245.200 e28430.a.akamaiedge.net. 15 IN A 210.132.245.232 オリジンサーバのIPが 応答しない
19.
Copyright ©︎ m.kouda
2023 まとめ クラウド型WAFはえらい
Jetzt herunterladen