Más contenido relacionado
La actualidad más candente (20)
Similar a サーバーにWafを導入してみた結果@t dash (20)
サーバーにWafを導入してみた結果@t dash
- 4. WAFの選択肢
mod_security
http://www.modsecurity.org
オープンソース/無料
Apacheのモジュール
CloudFlare
DDoS攻撃にも対応したクラウドのサービス
WAFは月額$20プランで使える
SiteGuard
日本の会社が提供している商用WAF
SiteGuard版は
SiteGuard Lite版だと1ライセンス252,000円+1年126,000円
AWSにもWAFがあるようだ
諸般の事情により 今回は AWSを検討していない
料金計算が複雑だが 月$30くらいで使えそう
- 7. 実際に導入してみて 自動適用状況
最近話題のPHP系のセキュリティーホール
WordPress 4.7.0/4.7.1 Unauthenticated Content Injection
IPA掲載日に対応
WordPressの脆弱性 サイトを改ざんできる
IPA 2017-02-06掲載
SiteGuradは 2017-02-06自動適用
Potential PHPMailer Remote Code Execution (CVE-2016-10033,CVE-2016-
10045) Attack
IPA掲載後 約2週間後に対応
ウェブサーバの権限で任意のコードを実行
IPA 2016-12-28掲載
SiteGuradは 2017-01-12自動適用
- 8. S2-045
PHPじゃないけれど 最近問題になった Java Struts2のセキュリティーホール
2017年4月25日 ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害
約3万2000件のクレジットカード情報 セキュリティーコードもサーバー保存してい
て 取られる
2017年3月24日メガネ販売店「JINS(ジンズ)」を展開するジェイアイエヌ
個人情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別のセットが
74万9745人分、メールアドレスのみが43万8610人分
2017年3月 13日にはGMOペイメントゲートウェイ運営の都税支払いサイトおよび住宅金
融支援機構カード支払いサイト カード情報が流出
不正アクセスされた可能性のある情報
ユーザーのクレジットカード情報 総件数:676,290件