ITエンジニア向け– category –
-
Webアプリケーション攻撃入門: 第3回 不正アクセスとセッション管理
本記事では、不正アクセスとセッション管理に関連した以下の脆弱性について解説します。 パス名パラメータの未チェック/ディレクトリ・トラバーサル アクセス制御や認可制御の欠落 セッション管理の不備 CSRF(クロスサイト・リクエスト・フォージェリ) ... -
AWS CDK(Typescript)でWordPress用のWAFの設定を行う
この記事では、IaCツールであるAWS CDKを使って、AWS WAFを設定する方法を解説します。 AWS WAFは比較的設定項目が多いため、CDKでコード化することで設定全体の見通しが良くなります。 設定する内容は、次の記事で解説したWAFの誤検知対策を含めたものに... -
AWS WAFでWordPressサイトを保護する設定を紹介 – 誤検知の対処法も解説します-
AWS WAFとは? AWS WAF(Web Application Firewall)は、Webアプリケーションを不正アクセスや攻撃から保護するためのサービスです。AWS WAFを利用することで、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃を防ぐこと... -
Webアプリケーション攻撃 第2回: インジェクション系 後編
本記事は、インジェクション系攻撃手法紹介の後編です。今回は次の2つのインジェクション系攻撃について解説していきます。 HTTPヘッダ・インジェクション メールヘッダ・インジェクション HTTPヘッダ・インジェクション HTTPヘッダ・インジェクションは、... -
Webアプリケーション攻撃入門 第1回: インジェクション系 前編
本シリーズでは、Webアプリケーションの脆弱性を突く攻撃について順に解説します。解説する脆弱性は、IPAが提供している「安全なウェブサイトの作り方」で紹介されている11の脆弱性に準拠しています。安全なウェブサイトの作り方」は、開発者や管理者向け... -
Amazon CloudFrontのキャッシュ削除機能とその考慮点
CloudFront(CDN)には、一度リクエストされたコンテンツをキャッシュし、次のリクエストで再利用する機能があります。 この機能は、ページロードの高速化とオリジンサーバーの負荷削減に役立ちますが、何らかの理由でキャッシュを削除したいことがあります... -
CloudFront Functionsでブラウザキャッシュの挙動を制御する
本記事では、CloudFront Functionsを使って、ブラウザキャッシュの挙動を制御する方法をお伝えします。通常のCloudFrontのキャッシュに加えて、ブラウザキャッシュの制御も行うことでキャッシュの設定を一箇所にまとめられて設定を追いやすくなるメリット... -
AWSのサーバレスサービス(API Gateway+Lambda)で簡単にリダイレクトを設定する
ブランディング変更や事業組織再編などの理由でWebサイトのドメインを変更することがあります。 旧サイトで新規ドメインへのリダイレクトを設定しておくとユーザーに親切です。 また、ドメインが変わるとSEOの評価がリセットされてしまうため、リダイレク... -
基礎から理解するWAF入門 記事一覧
近年、WAF(Web Application Firewall)の需要は着実に増加しています。Webアプリケーション攻撃の頻度や複雑さは年々増しており、攻撃からウェブアプリケーションを保護するためにWAFが求められています。 クラウドコンピューティングの普及により、企業... -
CloudFront FunctionsでZoneApexをwwwにリダイレクトする
本記事では、CloudFront Functionsを使って、ZoneApexをwwwにリダイレクトする方法をコード付きでお伝えします。 ZoneApexやCloudFront Functionsについても補足しますので、これらに馴染みがない方でも読んで頂けます。 Zone Apexとは? Zone Apexとは、... -
ACM(Amazon Certificate Manager)でDV証明書を発行する手順を解説
この記事では、AWSの証明書サービスを利用してDV証明書を発行する手順を解説します。 DV証明書は、「ドメインの管理権限を持っていること」を証明するだけで発行できるため、HTTPSを有効にしたい場合に簡単に利用できる点が優れています。 ACM(Amazon Cert... -
基礎から理解するCDN入門: 第13回 CDNの導入手順を一気通貫で理解する
この記事では、既存のWebサイトにCDNを導入する手順を最初から最後まで一気通貫で解説します。 この記事は、基礎から理解するCDN入門シリーズの総まとめです。 CDNには、これまで解説してきたようにDNS、HTTP、TLSといった複数の要素技術が関わっており、... -
基礎から理解するCDN入門: 第12回 CDNのHTTPSの設定を行う
本記事では、Amazon CloudFront を例として、CDNでHTTPSを利用するための設定について解説します。 HTTPSの設定で必要な項目は次の3つです。これらについて順に解説していきます。 HTTP/HTTPSの許可 サポートするTLSバージョンと暗号スイート 証明書の発行... -
基礎から理解するCDN入門: 第11回 TLSの仕組みを理解する
本記事では、Web通信のデファクトスタンダードになっているHTTPSを支える技術であるTLSの解説を行います。HTTPSを使用することで、通信を盗み見されたり改善されるリスクを大幅に軽減できます。現在、WebサイトのHTTPS対応は必須であり、HTTPS対応がされて... -
基礎から理解するCDN入門: 第10回 コンテンツ圧縮機能でデータ転送量を削減する
本記事では、HTTPプロトコルで利用できるコンテンツ圧縮機能について解説します。 CDNは圧縮機能のないオリジンサーバーの代わりに圧縮する機能を提供しています。CDNの最も重要な機能はキャッシュですが、コンテンツ圧縮機能も簡単に導入できてメリットが... -
基礎から理解するCDN入門: 第9回 キャッシュ戦略を設計する
キャッシュの利用は、レスポンスの高速化やオリジンサーバーの負荷削減といったメリットがありますが、適切な設定をしないとその効果を発揮できません。また、誤ったコンテンツをCDNでキャッシュすることは他人の情報が見えてしまうといったセキュリティ事... -
基礎から理解するCDN入門: 第8回 CDNのキャッシュキーを理解する
本記事では、CDNで利用されるキャッシュキー(Cache Key)について解説します。 キャッシュキーはCDNにおいて最も重要な概念と言っても過言ではありません。 キャッシュキーの設定を適切に行うことで、キャッシュの効率を改善したり、ユーザーの端末に応じて... -
基礎から理解するCDN入門: 第7回 HTTPキャッシュでレスポンスを高速化する
前回の記事ではHTTPの基礎について解説し、HTTPでは、クライアントとサーバーが、主にヘッダーを用いて情報交換をしていることをお伝えしました。 本記事では、HTTPのキャッシュを制御するためのヘッダーについて解説し、読者がCDNの設定を理解できること...
