Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WAFのルールである OWASP ModSecurity Core Rule Set (CRS...
Search
delphinz
September 21, 2018
Technology
2
1.7k
WAFのルールである OWASP ModSecurity Core Rule Set (CRS)を 使った可視化までの苦労話/20180921_owasp_connect_crs
delphinz
September 21, 2018
Tweet
Share
More Decks by delphinz
See All by delphinz
【セキュリティ競技】MINI Hardeningのご紹介 / MINI Hardneing4 introduction
delphinz
1
1.5k
20200209MINI_INFRA
delphinz
1
380
MINI Hardening Road to Taiwan(2019 HITCON CMT)
delphinz
0
940
淡路島で開催されたhardening2017fesにプレミアムサポートメンバーで参加してきたよ。/20171202-go-for-hardening2017fes
delphinz
0
150
Other Decks in Technology
See All in Technology
MCPで変わる Amebaデザインシステム「Spindle」の開発
spindle
PRO
3
3.2k
5年目から始める Vue3 サイト改善 #frontendo
tacck
PRO
3
220
大「個人開発サービス」時代に僕たちはどう生きるか
sotarok
20
9.9k
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
msykd
PRO
1
850
研究開発と製品開発、両利きのロボティクス
youtalk
1
520
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
370
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
240
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
daitasu
0
160
dbt開発 with Claude Codeのためのガードレール設計
10xinc
2
1.2k
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
3
250
生成AI時代のデータ基盤設計〜ペースレイヤリングで実現する高速開発と持続性〜 / Levtech Meetup_Session_2
sansan_randd
1
150
Android Audio: Beyond Winning On It
atsushieno
0
120
Featured
See All Featured
A better future with KSS
kneath
239
17k
How to Ace a Technical Interview
jacobian
279
23k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Agile that works and the tools we love
rasmusluckow
330
21k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.8k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Balancing Empowerment & Direction
lara
3
620
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
840
Rebuilding a faster, lazier Slack
samanthasiow
83
9.2k
Typedesign – Prime Four
hannesfritz
42
2.8k
Transcript
WAFͷϧʔϧͰ͋Δ OWASP ModSecurity Core Rule Set (CRS)Λ ͬͨՄࢹԽ·Ͱͷۤ࿑ !EFMQIJO[ 08"41$POOFDU!'PMJP
໊લɿ Masahiro Tabataʢ@delphinzʣ ࣄɿγεςϜίϯαϧλϯτ ηΩϡϦςΟͨ͠ͳΈఔ झຯओʹङྌ࠾ूɻ BBQͰϚάϩͦͯ͠ಲΛ͖͞·͢ɻ MINI
Hardening ӡӦϝϯόʔ(ϑΝγ Ϧςʔγϣϯʣͬͯ·͢♫ ࣗݾհ ʹ+"84%":Ͱ08"41ͱ .*/*IBSEFOJOHΛએதͷ༷ࢠ
.*/*IBSEFOJOHͰฉ͍ͨ ʢݫ͍͠ʣ͝ҙݟɾཁ ɾΠϚυΩ"QBDIFͱ͔Θͳ͍͠ʔʂ ɾ8"'ͱ͔ೖͬͯͳ͍αʔϏε͋Γ·͔͢ʔʁ
ΑΖ͍͠ ͳΒOHJOY NPETFDVSJUZͩʂ
NPETFDVSJUZʹ$34Λఴ͑ͯ .PETFDVSJUZ w .PE4FDVSJUZΦʔϓϯιʔεͷ8FCΞϓϦέʔγϣϯϑΝΠΞΥʔ ϧ 8"' Ͱɺ"QBDIFɺOHJOYɺ**4ͷϞδϡʔϧͱͯ͠ಈ࡞͢Δɻ ։ൃ4QJEFS-BCT͕ߦ͍ͬͯΔɻ IUUQTHJUIVCDPN4QJEFS-BCT.PE4FDVSJUZ 08"41NPETFDVSJUZ$PSF3VMF4FU
w 08"41͕ఏڙ͢ΔNPETFDVSJUZ༻ͷ߈ܸΛݕ͢Δجຊతͳϧʔϧ ηοτ IUUQTXXXPXBTQPSHJOEFYQIQ$BUFHPSZ08"
[email protected]
@$PSF@3VMF@4FU@1SPKFDU
OHJOY NPETFDVSJZͷ᠘ w "QBDIFͷ߹΄ͱΜͲͷMJOVYύοέʔδͰެࣜఏڙ͞ Ε͍ͯΔɻ OHJOYιʔε͔ΒͷϏϧυ͕ඞཁʂ w ެࣜͲ͏ΓʹͬͯઈରʹೖΒͳ͍ʂ CVJME࣌ͷϢʔβʔࢦఆ͕ඞཁ
ύοέʔδ͕Γͳ͍ͱಈ͔ͳ͍ɻ ΤϥʔΛు͔ͳ͍ʢٽʣ
͓Αͦਓྨͷखʹෛ͑ͳ͍ ϩάग़ྗܗࣜ
ՄࢹԽπʔϧΛࢼͯ͠ΈΔ w "VEJU$POTPMF NPETFDVSJUZͷϩάΛཧ͢ΔͨΊʹ࡞ΒΕͨ+BWBΞϓ Ϧέʔγϣϯ 5PNDBU্ʹల։͞Εͯ8&#ϒϥβ͔Βϩάͷऩूɺ อଘɺϑΟϧλϦϯάͳͲͷػೳΛఏڙ͢Δɻ IUUQXXXKXBMMPSHXFCBVEJUDPOTPMFJOEFYKTQ
͜Ε"VEJU$POTPMFͷ᠘͔ w +BWBܾΊଧͪɺެࣜͲ͓Γͩͱ͕ೖΓಈ͔ͳ͍ w SPPUҎԼʹஔ͠ͳ͍ͱϦΞϧλΠϜϩάऔࠐෆՄ w ϦΞϧλΠϜग़ྗʹඞཁͳNMPHDʢNPETFDVSJUZͷϩάग़ ྗπʔϧʣBQBDIF൛ͷΈରԠɺOHJOYඇରԠ w όονܗࣜͷସπʔϧ
QFSM OHJOY൛Ͱಈ͔ͳ͍ w BVEJUDPOTPMF͕ఏڙ͢Δϩάૹ৴πʔϧͰ༻ ʢͨͩ͠ɺҰׅૹ৴Ͱࠩૹ৴Ͱ͖ͳ͍ʣ
ແࣄʹՄࢹԽʹޭ͠·ͨ͠ʂ w ͱΓ͋͑ͣ.*/*IBSEFOJOHͰൃੜͨ͠NPETFDVSJZϩά ΛҰׅͰऔΓࠐΜͰΈΔͱ͜Μͳײ͡
͓·͚ɿ$34࡞ऀͷϫφ w 08"41ެࣜͷ$34ͷઆ໌ʹʮϥΠΞϯɾόʔωοτʯͷه ࡌ͋Γ w ʮϥΠΞϯɾόʔωοτʯͱ͍͑%%04ରࡦͷαʔϏεͰ ༗໊ͳ1SPMFYJDࣾʢͷͪʹ"LBNBJ͕ങऩʣͷۀऀ ʢৄࡉॻ੶ʮαΠόʔɾΫϥΠϜʯΛࢀরʣ
͡Όɺͳ͍ਓͩͬͨʂ
͓·͚ɿ$34࡞ऀͷϫφ w ޡΓʮ-ZPOʯਖ਼͘͠ʮ3ZBOʯͰͨ͠ɻ ϥΠΞϯɾόʔωοτͷ௲Γʹҙʂ ޡɿ ਖ਼ɿ ͪ͜Β͕$34ͷ࡞ऀͰͨ͠ʂ
݁ɿPTTͷΈͰͷ8"'ೖ ਏ͍ɺֶ͕ͼ͋ͬͨ w 8"'ͷΈΛΔ͜ͱ͕Ͱ͖ͨɻ ༻8"'Λ͑ͳ͍ਓPTT͔ΒॳΊͯྑ͍͔ɻ w ݕઐ༻ͷઃఆʹͯ͠ΒΕαʔόΛ͍͡ΔͱͲΜͳΞΫηε͕ 8"'ʹҾ͔͔ͬΔ͔ݟΕΔɻ w ଞͷPTT8"'࣌ؒ
ͱϞνϕʔγϣϯ ͕͋Εࢼͯ͠Έ͍ͨɻ w 7BHSBOU BOTJCMFͰॻ͍ͨͷͰHJUެ։͍ͨ͠ ͔ w ਖ਼͍͠࡞ऀ͕Θ͔ͬͨʂ
ͪΐͬͱࠂ .*/*IBSEFOJOH։࠵༧ఆ w ੈքॳʂʁɹςʔϚʮԾ௨՟ࢢΛकΓ͖Εʂʯ w ౦ژ!:BIPPͰ։࠵ɺͦͷޙෳճ։࠵༧ఆ ౦ژҎ֎Ͱ໊ݹɺେࡕͰͷ։࠵Λௐத ଞͷҬͰͷ։࠵ཁΛ͓͓ͪͯ͠Γ·͢ʂ w ࢀՃرͷํ$POOQBTTΛνΣοΫ͍ͯͩ͘͠͞ɻ
IUUQTNJOJIBSEFOJOHDPOOQBTTDPN
"QQFOEJY w 8FC"QQMJDBUJPO'JSFXBMM 8"' ಡຊվగୈ̎൛ IUUQTXXXJQBHPKQpMFTQEG w 08"41.PE4FDVSJUZ$PSF3VMF4FU3ZBO#BSOFUUQQU IUUQTXXXPXBTQPSHJOEFYQIQ 'JMF08"
[email protected]
@$PSF@3VMF@4FU3ZBO@#BSOFUUQQU