WAF– tag –

Webアプリケーションには様々な脆弱性が存在し、それらを突いたサイバー攻撃が増加しています。SQLインジェクションやクロスサイトスクリプティングなどの攻撃手法により、情報漏洩やデータ改ざんなどの深刻な被害が発生する可能性があります。 本シリーズ...

Webアプリケーションのセキュリティ対応を行うには、セキュリティガイドラインを理解しておくことが重要です。 セキュリティガイドラインとは、組織や個人が情報セキュリティリスクを管理し、データを保護するために従うべき推奨事項や手順の集合です。こ...

現代のデジタル化された社会において、企業や組織のWebアプリケーションは、サービス提供の主要な手段となっていますが、これらのアプリケーションが直面するセキュリティの脅威は日増しに進化し、高度化しています。 そのため、Webアプリケーションファイ...

WAF(Web Application Firewall)は、不正なトラヒックや攻撃からWebアプリケーションを守るために使用され、セキュリティにおいて重要な役割を果たします。 WAFのデプロイの形式は、Network-based、Host-based、Cloud-basedの3つあります。多くの場合、WAF...

本シリーズ最終回となるこの記事では、クラウド型WAFの導入方法について紹介します。 クラウド型WAFの導入は手順自体は簡単ですが、誤検知が起こるリスクがあるため、それをケアしながら導入を進める必要があります。本記事では、後検知のケアも含めた導入...

この記事では、WAFが防ぐことのできる攻撃について解説します。様々なITベンダーがWAFのサービスを提供していますが、今回はAWS (Amazon Web Services) が提供しているAWS WAFに焦点を当て。AWS WAFが検知・遮断可能なものの中で、主だったものを紹介しま...

本記事は、Webアプリケーション攻撃入門シリーズの最終回であり、次の2つの脆弱性について解説します。 クリックジャッキング バッファオーバーフロー クリックジャッキング クリックジャッキングは、「UI Re-Dressing(リドレッシング)」とも呼ばれ、ユー...

本記事では、不正アクセスとセッション管理に関連した以下の脆弱性について解説します。 パス名パラメータの未チェック／ディレクトリ・トラバーサル アクセス制御や認可制御の欠落 セッション管理の不備 CSRF（クロスサイト・リクエスト・フォージェリ） ...

この記事では、IaCツールであるAWS CDKを使って、AWS WAFを設定する方法を解説します。 AWS WAFは比較的設定項目が多いため、CDKでコード化することで設定全体の見通しが良くなります。 設定する内容は、次の記事で解説したWAFの誤検知対策を含めたものに...

AWS WAFとは？ AWS WAF（Web Application Firewall）は、Webアプリケーションを不正アクセスや攻撃から保護するためのサービスです。AWS WAFを利用することで、SQLインジェクションやクロスサイトスクリプティング（XSS）などの一般的なWeb攻撃を防ぐこと...

本記事は、インジェクション系攻撃手法紹介の後編です。今回は次の2つのインジェクション系攻撃について解説していきます。 HTTPヘッダ・インジェクション メールヘッダ・インジェクション HTTPヘッダ・インジェクション HTTPヘッダ・インジェクションは、...

本シリーズでは、Webアプリケーションの脆弱性を突く攻撃について順に解説します。解説する脆弱性は、IPAが提供している「安全なウェブサイトの作り方」で紹介されている11の脆弱性に準拠しています。安全なウェブサイトの作り方」は、開発者や管理者向け...

近年、WAF（Web Application Firewall）の需要は着実に増加しています。Webアプリケーション攻撃の頻度や複雑さは年々増しており、攻撃からウェブアプリケーションを保護するためにWAFが求められています。 クラウドコンピューティングの普及により、企業...