Upgrade to Pro — share decks privately, control downloads, hide ads and more …

我々はAWS WAFを研究している

Avatar for Secure Sky Technology Secure Sky Technology
August 28, 2018
Technology
0
1.6k

我々はAWS WAFを研究している

我々はAWS WAFを研究している
Avatar for Secure Sky Technology

Secure Sky Technology

August 28, 2018
Tweet

More Decks by Secure Sky Technology

See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
Avatar for Secure Sky Technology sst
0
290
『Apache Log4j 脆弱性の影響緩和のために今できること』
Avatar for Secure Sky Technology sst
1
6.1k
Webセキュリティ技術のキャッチアップ
Avatar for Secure Sky Technology sst
6
4.6k
脆弱性診断の移り変わり
Avatar for Secure Sky Technology sst
0
560
2020年度SST入社式 CTOからのメッセージ
Avatar for Secure Sky Technology sst
0
940
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
Avatar for Secure Sky Technology sst
0
860
サイバー攻撃者による不正な仮想通貨マイニングの実態
Avatar for Secure Sky Technology sst
0
510
HTTP2ことはじめ
Avatar for Secure Sky Technology sst
0
980

Other Decks in Technology

See All in Technology
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
7.2k
産業機械をElixirで制御する
Avatar for kikuyuta kikuyuta
0
160
Amplifyとゼロからはじめた AIコーディング 成果と展望
Avatar for k.masachika mkdev10
1
180
Securing your Lambda 101
Avatar for Ilia chillzprezi
0
250
Workflows から Agents へ ~ 生成 AI アプリの成長過程とアプローチ~
Avatar for Belong inc. belongadmin
2
140
Kotlinで学ぶ 代数的データ型
Avatar for Kanon ysknsid25
5
1.1k
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
2.6k
讓測試不再 BB! 從 BDD 到 CI/CD, 不靠人力也能 MVP
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
140
新卒3年目の後悔 〜機械学習モデルジョブの運用を頑張った話〜
Avatar for camay kameitomohiro
0
200
(非公式) AWS Summit Japan と 海浜幕張 の歩き方 2025年版
Avatar for Kosuke ENOMOTO coosuke
PRO
1
190
Cloud Native Scalability for Internal Developer Platforms
Avatar for hhiroshell hhiroshell
2
430
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
2.1k

Featured

See All Featured
Navigating Team Friction
Avatar for Lara Hogan lara
186
15k
Docker and Python
Avatar for Tania Allard trallard
44
3.4k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.3k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.8k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
36
2.7k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
41
7.3k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.4k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
693
190k

Transcript

  1. Secure Sky Technology Inc. 1 我々は AWS WAFを研究している 株式会社セキュアスカイ・テクノロジー 事業開発部

    兼 研究開発部 宇田川 稔

  2. Secure Sky Technology Inc. 2 自己紹介 宇田川 稔 所属 株式会社

    セキュアスカイ・テクノロジー 事業開発部 兼 研究開発部 仕事内容 WAF環境の設計、構築、運用 WAF研究担当 好きなAWSサービス AWS WAF AWS Lambda AWS Systems Manager 趣味 マラソン、サッカー観戦

  3. Secure Sky Technology Inc. 3 会社概要 Webアプリケーションセキュリティに特化した企業です。 設立 2006年3月15日 社員数

    40名(非常勤を除く) 資本金 5,400万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 代表取締役 大木 元 ※業界の著名な方に支えられています。 歌代 和正 SST 監査役(非常勤) JPCERT/CC 専務理事 三輪 信雄 SST 顧問(非常勤) S&J株式会社 代表取締役社長 総務省最高情報 セキュリティアドバイザー 元株式会社ラック 代表取締役社長 脆弱性をつくらない 教育事業 脆弱性を見つける 脆弱性診断 脆弱性を無害化する クラウド型WAF 「Scutum」

  4. Secure Sky Technology Inc. 本日、みなさまに 持ち帰っていただきたいこと 4

  5. Secure Sky Technology Inc. 我々は AWS WAFを研究した情報を 提供していくことを宣言します! 5 〜第1弾の調査テーマ〜

    AWS が提供しているOWASP TOP 10内の SQLインジェクション対策のルール

  6. Secure Sky Technology Inc. 宣言に至った経緯 6

  7. Secure Sky Technology Inc. 7  Query string , Single

    query parameter (value only) , All query parameters (values only)の違いってなに?  検査対象のデータと変換はどう組み合わせればいいの? 検査対象のデータを選択 Header / HTTP method / URI / Body / Query string / Single query parameter (value only) / All query parameters (values only) 対象データを検査する時に変換するかどうか。 None / Convert to lowercase / HTML decode / Normalize whitespace / Simplify command line / URL decode Webセキュリティ専門家でも迷う設定

  8. Secure Sky Technology Inc. 8 AWSも対策方法を提供  OWASP Top 10対応のルール

    CloudFormation で簡単設定!  AWS WAF セキュリティオートメーション こちらもCloudFormationで簡単設定!

  9. Secure Sky Technology Inc. 9 AWS WAFを管理してもらえませんか? お客様 お客様のニーズに応えるべく AWS

    WAF研究を続けています!! SST宇田川

  10. Secure Sky Technology Inc. 10 検知状況の調査内容 AWS が提供しているOWASP TOP 10内のSQLインジェクション対策のル

    ールについて、弊社が持っている攻撃データを用いて、どこまで検知するか 調査しました。 ▪ 攻撃データ ◦ テストケース数は約700 ◦ 一般的なSQLインジェクションを突くテストケースと共に 各DB特有の脆弱性を突くテストケースも使用 ▪ 調査環境概要 攻撃用マシン ALB + AWS WAF WEBサーバー OWASP Top 10 SQLインジェクション ルール

  11. Secure Sky Technology Inc. 11 検証結果 generic MySQL oracle SQL

    Server その他 0 50 100 150 200 250 300 350 400 450 OWASPTOP10SQLi_rule

  12. Secure Sky Technology Inc. 12 攻撃用マシン ALB + AWS WAF

    WEBサーバー 追加検証 検知率を上げたいので、 OWASP Top 10 SQLインジェクション ルールに 某サードパーティのマネージドルールを追加して、同様の検証をしてみた。 ▪ 調査環境概要 OWASP Top 10 SQLインジェクション ルール + 某サードパーティのマネージドルール

  13. Secure Sky Technology Inc. 13 検証結果 generic generic MySQL MySQL

    oracle oracle SQL Server SQL Server その他 その他 0 100 200 300 400 500 600 OWASPTOP10SQLi_rule OWASPTOP10SQLi_rule+ThirdPartyRule

  14. Secure Sky Technology Inc. 14 さらに検知精度を上げるために Webアプリケーションセキュリティに特化した企業セ キュアスカイ・テクノロジーの出番! 知っているから、 足りないルールを調査できる。

    運用で必要なことを判断できる。

  15. Secure Sky Technology Inc. 15 我々がまずできること AWS WAF 研究情報提供宣言!

  16. Secure Sky Technology Inc. 16 ~公開予定~ 1. AWS が提供しているOWASP TOP

    10内のSQLインジェクション対策の ルールの検知状況の調査 2. AWS が提供しているOWASP TOP 10内のXSS対策のルールの検知状況 の調査 3. 脆弱性毎の対応ルール a. OSコマンドインジェクション b. パストラバーサル c. 特定ミドルウェア/フレームワーク等を狙った攻撃 (Struts2、Tomcat、PHP、WordPressなど) d. その他、緊急度の高い脆弱性が出た場合、AWS WAFへの検知設定方法 4. ルールの誤検知とその対策 5. WEB構成に合わせたAWS WAF設定ベストプラクティス

  17. Secure Sky Technology Inc. 17 みなさまが快適に、迷いなく、 AWS WAFを使用できるように 情報を提供していきます。 SSTエンジニアブログ

    SST宇田川 本日発表した内容 も公開します! 詳細はこちら