この記事をtweetする このエントリーをはてなブックマークに追加


製品購入ウラづけガイド
これさえ読めば基本はカンペキ!「WAF 掲載日:2006/05/29

Webアプリケーションファイアウォール(WAF)



1:基礎講座 2:選び方講座 3:セキュリティ動向
1
Web改ざん事件が教えた「新手」の脅威
2
WAFの仕組みと役割
1
WAF製品の導入検討ポイント
2
製品カタログ
1
SQLインジェクションの発生頻度
2
SQLインジェクションの仕組み
3
SQLインジェクションへの対策は
 
INDEX


基礎講座
これさえ読めば基本はカンペキ!
基礎講座

 正当なWebリクエストのように見せかけて不正なデータやコードを送りこみ、Webシステムからの情報漏洩やサイト改ざん、サービス停止などを狙う悪質な事件が昨年たて続けに発生した。現在も簡便な「自動攻撃」ツールを用いた無差別な攻撃が後を絶たない。Webアプリケーションの脆弱性を突くこうした攻撃に対抗するには、従来のネットワークレベルでの防御策だけでは不十分なことが明らかだ。従来の対策を補完し、被害を防ぐ役目を果たすのが今回紹介するWebアプリケーションファイアウォール(WAF)だ。今回は、Webアプリケーションの脆弱性を狙う攻撃を紹介しながら、WAFの役割と仕組みを紹介していく。 Webアプリケーションファイアウォール(WAF)

1 

Web改ざん事件が教えた「新手」の脅威


 昨年は、企業サイトへの不正アクセス事件やWeb改ざん事件が相次ぎ、被害企業ではサイトの一時閉鎖や情報漏洩の発覚〜謝罪などに立ち至る大きな損失を被ったことで大きく報道された。一連の事件は、被害規模もさることながら、ネットワークレベルの防御(従来のファイアウォールやIDS/IPS、アンチウイルスツールなど)を周到に行っていても、Webアプリケーションの脆弱性を狙う攻撃には無力である事実を私たちの眼前に突きつけた。こうした「新手」の攻撃には、例えば表1のようなものがある。


表1 Webアプリケーションへの代表的な攻撃
パラメータ改ざん URLのパラメータとしてWebサーバに渡されるデータを改ざんし、データベース内のデータに不正アクセス
隠しフィールド改ざん Webサーバに隠しフィールドとして渡される値を不正に改ざん
クロスサイトスクリプティング 掲示板などのWebサーバにHTMLのタグを埋め込み、それを読み込んだ第三者の環境で実行する悪意のスクリプト
SQLインジェクション HTTPリクエストのパラメータにSQLコマンドを含ませ、データベース内のデータを不正入手・改ざん
コマンドインジェクション バックエンドのサーバにコマンドを送り、パスワードファイルなど不正に入手
Cookie改ざん WebブラウザからWebサーバへ送られるCookieファイルの内容を書き換え、セッションをハイジャックしたり、ユーザーになりすまして情報に不正アクセス
既知/未知のWeb脆弱点攻撃 OSやWebサーバプログラムが持つ脆弱性で、パッチが当てられていないものや、パッチが提供されていないものを攻撃
強制閲覧(ACL破り) 正規のアプリケーション操作やアクセス認証を行わずに、URLを操作して特定のディレクトリを閲覧
バッファオーバーフロー バッファのサイズを越えるリクエストをサーバへ送り、処理をあふれさせ、サーバをクラッシュし、管理者権限を奪取
資料提供:F5ネットワークス

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/アプリケーションファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

CPI マネージド専用サーバー 【KDDI ウェブコミュニケーションズ】 法人向けオンラインストレージ DirectCloud-BOX 【ダイレクトクラウド】 AWS上でオンプレと同等の保護、ゴルフダイジェスト・オンラインのクラウド移行 【F5ネットワークスジャパン】
ハウジング オンラインストレージ/ファイルストレージ ファイアウォール
サーバー機能をパッケージ化したサービス。運用・管理の全てをKDDIウェブコミュニケーションズに一任できる。回線帯域は最大1Gbpsとなり、高負荷環境にも余裕で対応。 社内外でファイルを効率よく安全に共有・管理。「ユーザー数無制限」の法人向けオンラインストレージ。 AWS上でオンプレと同等の保護、ゴルフダイジェスト・オンラインのクラウド移行

WAF」関連の特集


 「Automotive World 2017」1月18日〜20日までの3日間、東ビッグサイトで開催…



世間を騒がせている不正アクセスやハッキング被害…。なりすましや脆弱性の利用によるシステム乗っ取りなど…



 前回第2回の記事では、ウェブアプリケーションの脆弱性対策「ウェブアプリケーションの脆弱性をなくす」…


WAF」関連のセミナー

情報セキュリティ対策ソリューションはクラウドモノを使い倒せ! 【主催:NRIセキュアテクノロジーズ/共催:IMPERVA Japan/日本プルーフポイント/マクニカネットワークス/Netskope Japan】  

開催日 11月15日(木)   開催地 福岡県   参加費 無料

ランサムウェア、標的型攻撃、DDoSといったサイバー攻撃は日々、高度化し続けています。セキュリティ人材の不足が叫ばれる中で、オンプレミスに情報セキュリティ対策ソ…

情報セキュリティ対策ソリューションはクラウドモノを使い倒せ! 【主催:NRIセキュアテクノロジーズ/共催:IMPERVA Japan/日本プルーフポイント/マクニカネットワークス/Netskope Japan】  

開催日 11月7日(水)   開催地 大阪府   参加費 無料

ランサムウェア、標的型攻撃、DDoSといったサイバー攻撃は日々、高度化し続けています。セキュリティ人材の不足が叫ばれる中で、オンプレミスに情報セキュリティ対策ソ…

進化し続けるサイバー攻撃や内部不正などのリスク対策とは 【グローバルセキュリティエキスパート/カーボン・ブラック・ジャパン/Sky/サイバネットシステム】 締切間近 

開催日 10月25日(木)   開催地 東京都   参加費 無料

サイバー攻撃の高度化により、シグネチャベースのアンチウイルスで攻撃を完全に防止することは、もはや不可能になっています。そのため、攻撃をうけていることをできる限り…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/アプリケーションファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/アプリケーションファイアウォール」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30001705


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ