Upgrade to Pro — share decks privately, control downloads, hide ads and more …

我々はAWS WAFを研究している

Avatar for Secure Sky Technology Secure Sky Technology
August 28, 2018
Technology
1.8k
0

我々はAWS WAFを研究している

我々はAWS WAFを研究している

Avatar for Secure Sky Technology

Secure Sky Technology

August 28, 2018

More Decks by Secure Sky Technology

See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
Avatar for Secure Sky Technology sst
0
350
『Apache Log4j 脆弱性の影響緩和のために今できること』
Avatar for Secure Sky Technology sst
1
6.2k
Webセキュリティ技術のキャッチアップ
Avatar for Secure Sky Technology sst
6
4.8k
脆弱性診断の移り変わり
Avatar for Secure Sky Technology sst
0
620
2020年度SST入社式 CTOからのメッセージ
Avatar for Secure Sky Technology sst
0
1k
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
Avatar for Secure Sky Technology sst
0
970
サイバー攻撃者による不正な仮想通貨マイニングの実態
Avatar for Secure Sky Technology sst
0
570
HTTP2ことはじめ
Avatar for Secure Sky Technology sst
0
1.1k

Other Decks in Technology

See All in Technology
日本 Fintech 未来予測レポート 2027〜2028年(手動編集版)
Avatar for 8maki 8maki
0
1.9k
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
810
Agentic Web
Avatar for dynamis dynamis
1
200
エンジニアリング戦略の作り方 / Crafting Engineering Strategy
Avatar for iwashi iwashi86
20
6.6k
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
830
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
Avatar for Recruit recruitengineers
PRO
1
140
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
Avatar for 8maki 8maki
0
1.8k
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
810
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
Avatar for じゃらしまる syuchimu
0
210
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
4
1.5k
連合学習と機密コンピューティング
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
100
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.9k

Featured

See All Featured
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
52k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.9k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
370
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
140
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
320
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
210k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
140
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
360
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
190
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490

Transcript

  1. Secure Sky Technology Inc. 1 我々は AWS WAFを研究している 株式会社セキュアスカイ・テクノロジー 事業開発部

    兼 研究開発部 宇田川 稔

  2. Secure Sky Technology Inc. 2 自己紹介 宇田川 稔 所属 株式会社

    セキュアスカイ・テクノロジー 事業開発部 兼 研究開発部 仕事内容 WAF環境の設計、構築、運用 WAF研究担当 好きなAWSサービス AWS WAF AWS Lambda AWS Systems Manager 趣味 マラソン、サッカー観戦

  3. Secure Sky Technology Inc. 3 会社概要 Webアプリケーションセキュリティに特化した企業です。 設立 2006年3月15日 社員数

    40名(非常勤を除く) 資本金 5,400万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 代表取締役 大木 元 ※業界の著名な方に支えられています。 歌代 和正 SST 監査役(非常勤) JPCERT/CC 専務理事 三輪 信雄 SST 顧問(非常勤) S&J株式会社 代表取締役社長 総務省最高情報 セキュリティアドバイザー 元株式会社ラック 代表取締役社長 脆弱性をつくらない 教育事業 脆弱性を見つける 脆弱性診断 脆弱性を無害化する クラウド型WAF 「Scutum」

  4. Secure Sky Technology Inc. 本日、みなさまに 持ち帰っていただきたいこと 4

  5. Secure Sky Technology Inc. 我々は AWS WAFを研究した情報を 提供していくことを宣言します! 5 〜第1弾の調査テーマ〜

    AWS が提供しているOWASP TOP 10内の SQLインジェクション対策のルール

  6. Secure Sky Technology Inc. 宣言に至った経緯 6

  7. Secure Sky Technology Inc. 7  Query string , Single

    query parameter (value only) , All query parameters (values only)の違いってなに?  検査対象のデータと変換はどう組み合わせればいいの? 検査対象のデータを選択 Header / HTTP method / URI / Body / Query string / Single query parameter (value only) / All query parameters (values only) 対象データを検査する時に変換するかどうか。 None / Convert to lowercase / HTML decode / Normalize whitespace / Simplify command line / URL decode Webセキュリティ専門家でも迷う設定

  8. Secure Sky Technology Inc. 8 AWSも対策方法を提供  OWASP Top 10対応のルール

    CloudFormation で簡単設定!  AWS WAF セキュリティオートメーション こちらもCloudFormationで簡単設定!

  9. Secure Sky Technology Inc. 9 AWS WAFを管理してもらえませんか? お客様 お客様のニーズに応えるべく AWS

    WAF研究を続けています!! SST宇田川

  10. Secure Sky Technology Inc. 10 検知状況の調査内容 AWS が提供しているOWASP TOP 10内のSQLインジェクション対策のル

    ールについて、弊社が持っている攻撃データを用いて、どこまで検知するか 調査しました。 ▪ 攻撃データ ◦ テストケース数は約700 ◦ 一般的なSQLインジェクションを突くテストケースと共に 各DB特有の脆弱性を突くテストケースも使用 ▪ 調査環境概要 攻撃用マシン ALB + AWS WAF WEBサーバー OWASP Top 10 SQLインジェクション ルール

  11. Secure Sky Technology Inc. 11 検証結果 generic MySQL oracle SQL

    Server その他 0 50 100 150 200 250 300 350 400 450 OWASPTOP10SQLi_rule

  12. Secure Sky Technology Inc. 12 攻撃用マシン ALB + AWS WAF

    WEBサーバー 追加検証 検知率を上げたいので、 OWASP Top 10 SQLインジェクション ルールに 某サードパーティのマネージドルールを追加して、同様の検証をしてみた。 ▪ 調査環境概要 OWASP Top 10 SQLインジェクション ルール + 某サードパーティのマネージドルール

  13. Secure Sky Technology Inc. 13 検証結果 generic generic MySQL MySQL

    oracle oracle SQL Server SQL Server その他 その他 0 100 200 300 400 500 600 OWASPTOP10SQLi_rule OWASPTOP10SQLi_rule+ThirdPartyRule

  14. Secure Sky Technology Inc. 14 さらに検知精度を上げるために Webアプリケーションセキュリティに特化した企業セ キュアスカイ・テクノロジーの出番! 知っているから、 足りないルールを調査できる。

    運用で必要なことを判断できる。

  15. Secure Sky Technology Inc. 15 我々がまずできること AWS WAF 研究情報提供宣言!

  16. Secure Sky Technology Inc. 16 ~公開予定~ 1. AWS が提供しているOWASP TOP

    10内のSQLインジェクション対策の ルールの検知状況の調査 2. AWS が提供しているOWASP TOP 10内のXSS対策のルールの検知状況 の調査 3. 脆弱性毎の対応ルール a. OSコマンドインジェクション b. パストラバーサル c. 特定ミドルウェア/フレームワーク等を狙った攻撃 (Struts2、Tomcat、PHP、WordPressなど) d. その他、緊急度の高い脆弱性が出た場合、AWS WAFへの検知設定方法 4. ルールの誤検知とその対策 5. WEB構成に合わせたAWS WAF設定ベストプラクティス

  17. Secure Sky Technology Inc. 17 みなさまが快適に、迷いなく、 AWS WAFを使用できるように 情報を提供していきます。 SSTエンジニアブログ

    SST宇田川 本日発表した内容 も公開します! 詳細はこちら