Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
WAFにおけるシグネチャの功罪
はじめに 私は「シグネチャ依存型のWAFは避けよう」という記事(以下、前記事)において、以下の内容を示しました。 WAFの仕事の本質は「分類」である WAFというのは、ソフトウェアが分類を行う場面である ソフトウェアが分類する=AI/データサイエンス分野の技術である シグネチャは10年以上前の古い分類技術で性能が低く、2020年の時点で使うべきでない 上記だけ眺めれば、WAFにおいてシグネチャを使っても良い事はなさそうに見えます。しかし実際には、シグネチャ(あるいはルール)だけを使っている「シグネチャ依存型」のWAFが今もたくさん存在しています。つまり、何かしら、シグネチャが生き残っている理由があるはずです。 今回は、WAFにおけるシグネチャの利点・欠点について、より掘り下げて行きたいと思います。なお、本文内で何度か登場する「誤検知」は、「本来止めるべきでない正常な通信を、誤って攻撃と分類
AWS Black Belt Online Seminar 2017 AWS WAF
1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1 Kazuaki Fujikura Solutions Architect, Amazon Web Services Japan K.K 2017.11.22 【AWS Black Belt Online Seminar】 AWS WAF -OWASP Top10脆弱性緩和策- 2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2 ⾃⼰紹介 藤倉 和明(Kazuaki Fujikura) AWS Enterprise Solution Architect 好きなAWSサービス Amazon CloudWatch Amazon VPC
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
