Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2013年12月5日
ModSecurity の導入・運用はやっぱり大変

ModSecurity を導入してから 2 週間くらいたちましたが、感想としては役に立つけど運用が大変だなということです。 今回は、クロスサイト・スクリプティングと SQL インジェクション のみの CRS (Core Rule Set) を導入したのですが、それでも偽陽性、つまり、本来問題のないリクエストを攻撃と誤検知してしまうことがとても多いです。 ModSecurity は大変と...
>>続きを読む

2013年11月28日
ModSecurity (WAF) を導入して分かること

ModSecurity という WAF (Web Application Firewall) を導入したのですが、ログを監視していると Web サーバーは常に攻撃にさらされているということが改めて分かります。 ModSecurity で有効にしたのは、クロスサイトスクリプティングと SQL インジェクションの防御のみです。ですが、こんなマイナーなサイトでも攻撃を受けていて、 403 でリクエ...
>>続きを読む

2013年7月13日
.NET の SQL インジェクション対策に LINQ を追加しました

.NET の SQL インジェクション対策に LINQ を追加しました。 SQLインジェクション対策(ASP.NET,C#,VB.NET編) 本当は、Entity Framework で LINQ to Entities を使用することに統一したかったのですが、C# は問題なかったのですが、VB.NET で原因不明のエラーを解消することができませんでした。そのため、VB.NET は L...
>>続きを読む

2013年5月2日
JINS セキュリティ事故報告に見る責任のあり方

JINS オンラインショップのセキュリティ事故に関する最終報告が、JINS のサイトに掲載されました。 不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告) 今回の、JINS オンラインショップにおけるセキュリティ事故において、JINS が行った対応は、今後、企業がとるべき対応の手本になりうるものです。 具体的には、JINS は以下の対応を行いました。 ...
>>続きを読む