Submit Search
Upload
WAFすごい
•
Download as PPTX, PDF
•
0 likes
•
255 views
M
mkoda
Follow
第31回 セキュリティ共有勉強会LT資料です。 (テーマ: 間違った常識)
Read less
Read more
Technology
Report
Share
Report
Share
1 of 19
Download now
Recommended
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
20160717 csc sec_bd
20160717 csc sec_bd
寛人 種市
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
Recommended
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
20160717 csc sec_bd
20160717 csc sec_bd
寛人 種市
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
Future vuls introduction
Future vuls introduction
csig-info
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
クラウドセキュリティ
クラウドセキュリティ
softlayerjp
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
Kotaro Tsukui
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
Eiji Sasahara, Ph.D., MBA 笹原英司
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
More Related Content
Similar to WAFすごい
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
Future vuls introduction
Future vuls introduction
csig-info
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
クラウドセキュリティ
クラウドセキュリティ
softlayerjp
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
Kotaro Tsukui
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
Eiji Sasahara, Ph.D., MBA 笹原英司
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
Similar to WAFすごい
(20)
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Future vuls introduction
Future vuls introduction
The Shift Left Path and OWASP
The Shift Left Path and OWASP
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
クラウドセキュリティ
クラウドセキュリティ
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
【Securify】Partner program.pdf
【Securify】Partner program.pdf
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Recently uploaded
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
Hiroshi Tomioka
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
Recently uploaded
(9)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
WAFすごい
1.
WAF すごいぞ? 2023/03/08 はるきち 第31回 セキュリティ共有勉強会 (テーマ:
間違った常識)
2.
Copyright ©︎ m.kouda
2023 幸田将司(はるきち): セキュリティエンジニア: - フリーランス - SecuriST(R) 認定診断士 試験委員 - 株式会社Levii - 合同会社blk.SMITH.LLC twitter: - @halkichisec Who am I?
3.
Copyright ©︎ m.kouda
2023 1. WAFってなぁに 2. 世間のギャップ 3. WAFすごいぞ Contents
4.
Copyright ©︎ m.kouda
2023 WAFってなぁに
5.
Copyright ©︎ m.kouda
2023 WAF(Web Application Firewall) Webアプリケーションを堅牢化する要素の1つ できること • シグネチャにマッチした攻撃を防ぐ • DoSの緩和 • オリジンサーバの隠蔽(クラウド型) できないこと • ロジック、仕様にかかる脆弱性 例1. 適当なマイナンバーでワク チン摂取の予約ができる 例2. 登録済みのユーザを親切に 教えてくれる (wordpress)
6.
Copyright ©︎ m.kouda
2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置 • Fortiweb WAF WAF WAF
7.
Copyright ©︎ m.kouda
2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
8.
世間のギャップ
9.
Copyright ©︎ m.kouda
2023 世間とのギャップ サイト運営者(非IT企業) • セキュリティはやらなければいけない • でもコストがかかる… • 対策の妥当性も確認できない。 • ググったらWAFというのがいいらしい。 そうだ、WAFいれよう WAFを紹介する 個人ブログ セキュリティ対策は これでヨシっと... インストールするだけで リスク対応可能 最新の攻撃パターンを 即座に検知します。
10.
Copyright ©︎ m.kouda
2023 セキュリティ業界とのギャップ セキュリティエンジニア • WAFは確かに便利・・・ • でも万能ではない(WAF迂回攻撃へ未対応) 確かにWebサーバへの無作為なスキャンは防ぐ • 👇こういうやつ • 👇こういうのは防げない "GET /index.php?name=OR 1=1 HTTP/1.1" 200 "GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200 ※URLデコード済み "GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200 "GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200 ※URLデコード済み
11.
Copyright ©︎ m.kouda
2023 セキュリティ業界とのギャップ セキュリティエンジニア(僕)的には... 多層防御の観点ではもちろん重要 ただ、導入コストに対するリターンが見込めないかな... • メンテナンスも必要 • パケット解析のオーバヘッドがある と考えていた時期がありました。
12.
Copyright ©︎ m.kouda
2023 WAFすごいぞ
13.
Copyright ©︎ m.kouda
2023 WAFのタイプ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
14.
Copyright ©︎ m.kouda
2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF 攻撃者のペイロードが 全てWAFを通過する HTTPより下位層の 脆弱性を利用されない www.example.com WebサーバはWAFのIPから 80ポート(HTTP)のみ inbound通信を許可
15.
Copyright ©︎ m.kouda
2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF WAFの振り分けは HTTPのHostヘッダを参照する [www.example.com] 本来ならいろいろ見えていた けど、まぁ大丈夫(よくない) DNSリバインディングも ついでに防ぐ www.example.com
16.
Copyright ©︎ m.kouda
2023 クラウド型WAFのメリット ホスト型に比べると... オリジンサーバの隠蔽 メンテナンスコストが安価 • シグネチャのアップデートが自動 • 各ホストにインストールしなくてOK • ついでにTLSのアップデートも不要 ネットワーク(アプライアンス)型に比べると... メンテナンスコストが安価 • シグネチャのアップデートが自動 導入費用も安い
17.
Copyright ©︎ m.kouda
2023 ちゃんと設定しないとちゃんとしくじる CDNやWAFを迂回される ポケ徹のクラウド型DDoS保護の迂回事例 CDN img.xxxxx.com AWS SAKURA Internet xxxxx.com
18.
Copyright ©︎ m.kouda
2023 クラウド型...なコンテンツ 某大手美容外科クリニックの例 オリジンサーバのIPを調べる方法もあるので完全隠蔽 でないことに注意 $dig www.s-b-c.net ;; ANSWER SECTION: www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net. www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net. e28430.a.akamaiedge.net. 15 IN A 210.132.245.200 e28430.a.akamaiedge.net. 15 IN A 210.132.245.232 オリジンサーバのIPが 応答しない
19.
Copyright ©︎ m.kouda
2023 まとめ クラウド型WAFはえらい
Download now