SlideShare uma empresa Scribd logo

Iss seminar 2010709#1-upload

Transferir como PPT, PDF
Openwave Systems
Openwave Systems

Presentation Material for will demonstration WAF at Jul/09 16:00(JST).

TecnologiaDesign
1 de 20
WAF による「やられ Web アプリケーション」の 保護デモンストレーション ~ WAF 製品の WebGoat 保護のデモ ~ 井上 達一  ( 株 ) インテカーセキュアソリューションズ NSFOCUS 担当
アジェンダ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
やれれ Web アプリケーションとは何か? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],参考 URL: http://nsslabs.com/certification/waf/nss-waf-v10-testproc.pdf
OWASP Top 10 ( 旧版と 2010 年度版比較 ) http://www.owasp.org/index.php/Top_10
デモ環境 ,[object Object],vmnet2: 10.10.20.198 Switch LAN: 10.10.20.199 MGR: 192.168.0.1 WAN: Switch 10.10.20.170 vmnet2: 10.10.20.198 LocalArea2: 192.168.1.199
Webgoat の入手 ,[object Object],Google code の WebGoat-OWASP_Standard-5.3_RC1.7z をダウンロード
Webgoat のインストール、起動 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Webgoat ログイン ① guest/guest にて Basic 認証 ② Start WebGoat ボタンをクリック ③ レッスン TUTORIAL の表示
SQL インジェクション成功例 (WAF オフ ) ① Injection Flaws をクリック ② String SQL Injection をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション成功
SQL インジェクション成功例 (WAF オン ) ① Restart this lesson をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション失敗 ② SQL injection ルールを Activate
SQL インジェクション成功例 (WAF オン ) ① Restart this lesson をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション失敗 ② SQL injection ルールを Activate
WAF セキュリティポリシー設定 ① Web Security⇒Policy Configuration⇒WebSecurity ③ 保護対象の指定 (Domain/WebSite/Site Group) ④ ルール定義 ② Action: Forward/Block/Accept の選択
NSFOCUS WAF 主要機能 All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 多様な Web セキュリティ機能 HTTPS/SSL インスペクション セキュリティ機能 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],セキュリティ機能管理ツール ,[object Object],[object Object],豊富なログとレポート機能 レポート管理・作成 検索や集計の各条件に応じたログをレポートとして出力することが可能。レポートは定期的に作成することが可能。 ログ管理 ブラウザから分かり易い操作でログを検索することが可能。 便利なシステム管理機能 システム管理ツール ,[object Object],[object Object],[object Object],[object Object],自己診断機能
NSFOCUS WAF の主な特長 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd
【特長】連携した 3 段階のセキュリティ防御機能 All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
【特長】 HTTP/HTTPS 双方向でのトラフィッククリーニング All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd オンライン防御エンジン コンテンツフィルターリング モジュール Web サーバ ファーム Web サービス利用者 クリーニングされたトラフィック 混雑するトラフィック
【特長】 Web ページ改ざん防止 ,[object Object],[object Object],[object Object],[object Object],All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd
構成方法 ① 透過 ( トランスペアレント ) 方式 ⇒ 本日のデモ構成 ② VLAN Trunk(802.1q) 方式 ③ ルーティング方式
その他 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd

Recomendados

Web Componentsのアクセシビリティ
Web ComponentsのアクセシビリティWeb Componentsのアクセシビリティ
Web ComponentsのアクセシビリティMitsue-Links Co.,Ltd. Accessibility Department
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)Yuto Ichikawa
 
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawajawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawaYuto Ichikawa
 
Zabbix製品・サービス紹介資料
Zabbix製品・サービス紹介資料Zabbix製品・サービス紹介資料
Zabbix製品・サービス紹介資料Zabbix
 
[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02Microsoft Tech Summit 2017
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive DirectorySuguru Kunii
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_publicSix Apart
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_publicSix Apart
 

Recomendados

Web Componentsのアクセシビリティ
Web ComponentsのアクセシビリティWeb Componentsのアクセシビリティ
Web ComponentsのアクセシビリティMitsue-Links Co.,Ltd. Accessibility Department
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)Yuto Ichikawa
 
jawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawajawsug_20210319_csc_ichikawa
jawsug_20210319_csc_ichikawaYuto Ichikawa
 
Zabbix製品・サービス紹介資料
Zabbix製品・サービス紹介資料Zabbix製品・サービス紹介資料
Zabbix製品・サービス紹介資料Zabbix
 
[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02Microsoft Tech Summit 2017
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive DirectorySuguru Kunii
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_publicSix Apart
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_publicSix Apart
 
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handsonSix Apart
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmYuto Ichikawa
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011Microsoft Tech Summit 2017
 
20061122
2006112220061122
20061122小野 修司
 
クラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda Backupクラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda BackupBarracudaJapan
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Takashi Matsunaga
 
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介BarracudaJapan
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションBarracudaJapan
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampKyo Ago
 
20150711 kishima
20150711 kishima20150711 kishima
20150711 kishimaKishima Masakazu
 
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介BarracudaJapan
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介BarracudaJapan
 
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~de:code 2017
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)ripper0217
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪Kitani Kimiya
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 
Cent7@zabbix2.4を試す
Cent7@zabbix2.4を試すCent7@zabbix2.4を試す
Cent7@zabbix2.4を試すmasayoshi shiraishi
 
20080213
2008021320080213
20080213小野 修司
 
Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF Munenori Sugimura
 
Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008Yoshiki Kurihara
 

Mais conteúdo relacionado

Mais procurados

20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handsonSix Apart
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmYuto Ichikawa
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 
クラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda Backupクラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda BackupBarracudaJapan
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Takashi Matsunaga
 
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介BarracudaJapan
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションBarracudaJapan
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampKyo Ago
 
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介BarracudaJapan
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介BarracudaJapan
 
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~de:code 2017
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)ripper0217
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪Kitani Kimiya
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 

Mais procurados (20)

20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
 
20061122
2006112220061122
20061122
 
クラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda Backupクラウドつきバックアップアプライアンス: Barracuda Backup
クラウドつきバックアップアプライアンス: Barracuda Backup
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
 
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
 
20150711 kishima
20150711 kishima20150711 kishima
20150711 kishima
 
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介
 
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
[MR11] Windows as a Service との付き合い方。~法人向け Windows 10 の新機能や事例もご紹介~
 
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
 
Cent7@zabbix2.4を試す
Cent7@zabbix2.4を試すCent7@zabbix2.4を試す
Cent7@zabbix2.4を試す
 
20080213
2008021320080213
20080213
 

Destaque

Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF Munenori Sugimura
 
Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008Yoshiki Kurihara
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...Insight Technology, Inc.
 
フリーエージェント時代の仕事術 先生:和田 裕介
フリーエージェント時代の仕事術 先生:和田 裕介フリーエージェント時代の仕事術 先生:和田 裕介
フリーエージェント時代の仕事術 先生:和田 裕介schoowebcampus
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521株式会社スカイアーチネットワークス
 
とある Perl Monger の働き方
とある Perl Monger の働き方とある Perl Monger の働き方
とある Perl Monger の働き方Yusuke Wada
 
究極にして至高のWAF
究極にして至高のWAF究極にして至高のWAF
究極にして至高のWAFYuki Ishikawa
 
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~Citrix Systems Japan
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAmazon Web Services Japan
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -MITSUNARI Shigeo
 

Destaque (12)

Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF Perl Beginners #7 おとなのWAF
Perl Beginners #7 おとなのWAF
 
Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008Sledge recently in Yokohama.pm Aug, 2008
Sledge recently in Yokohama.pm Aug, 2008
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
 
フリーエージェント時代の仕事術 先生:和田 裕介
フリーエージェント時代の仕事術 先生:和田 裕介フリーエージェント時代の仕事術 先生:和田 裕介
フリーエージェント時代の仕事術 先生:和田 裕介
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
 
とある Perl Monger の働き方
とある Perl Monger の働き方とある Perl Monger の働き方
とある Perl Monger の働き方
 
究極にして至高のWAF
究極にして至高のWAF究極にして至高のWAF
究極にして至高のWAF
 
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
 
新しい暗号技術
新しい暗号技術新しい暗号技術
新しい暗号技術
 
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpacesAWS Black Belt Tech シリーズ 2016 - WorkSpaces
AWS Black Belt Tech シリーズ 2016 - WorkSpaces
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMailAWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -
 

Semelhante a Iss seminar 2010709#1-upload

Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことYOJI WATANABE
 
被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史kepomalaysia
 
App004 実践での成功例か
App004 実践での成功例かApp004 実践での成功例か
App004 実践での成功例かTech Summit 2016
 
App004 実践での成功例か
App004 実践での成功例かApp004 実践での成功例か
App004 実践での成功例かTech Summit 2016
 
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見Yosuke HASEGAWA
 
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Osamu Monoe
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介OSSラボ株式会社
 
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティKubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティNGINX, Inc.
 
マイクロソフトWeb開発の今と今後
マイクロソフトWeb開発の今と今後マイクロソフトWeb開発の今と今後
マイクロソフトWeb開発の今と今後Akira Inoue
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)Akio Katayama
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-publicAmazon Web Services Japan
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omoKazuki Omo
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
Webサーバの基礎知識【編集済み】
Webサーバの基礎知識【編集済み】Webサーバの基礎知識【編集済み】
Webサーバの基礎知識【編集済み】Kikunaga Taishi
 
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!Juniper Networks (日本)
 
NGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdfNGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdfFumieNakayama
 

Semelhante a Iss seminar 2010709#1-upload (20)

Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
 
被遮蔽的歷史
被遮蔽的歷史被遮蔽的歷史
被遮蔽的歷史
 
App004 実践での成功例か
App004 実践での成功例かApp004 実践での成功例か
App004 実践での成功例か
 
App004 実践での成功例か
App004 実践での成功例かApp004 実践での成功例か
App004 実践での成功例か
 
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
 
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介
 
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティKubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
 
マイクロソフトWeb開発の今と今後
マイクロソフトWeb開発の今と今後マイクロソフトWeb開発の今と今後
マイクロソフトWeb開発の今と今後
 
Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)AWSマイスターシリーズReloaded(AWS Beanstalk)
AWSマイスターシリーズReloaded(AWS Beanstalk)
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public20120416 aws meister-reloaded-aws-elasticbeanstalk-public
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
Webサーバの基礎知識【編集済み】
Webサーバの基礎知識【編集済み】Webサーバの基礎知識【編集済み】
Webサーバの基礎知識【編集済み】
 
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
 
NGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdfNGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdf
 

Iss seminar 2010709#1-upload

  • 1. WAF による「やられ Web アプリケーション」の 保護デモンストレーション ~ WAF 製品の WebGoat 保護のデモ ~ 井上 達一  ( 株 ) インテカーセキュアソリューションズ NSFOCUS 担当
  • 2.
  • 3.
  • 4. OWASP Top 10 ( 旧版と 2010 年度版比較 ) http://www.owasp.org/index.php/Top_10
  • 5.
  • 6.
  • 7.
  • 8. Webgoat ログイン ① guest/guest にて Basic 認証 ② Start WebGoat ボタンをクリック ③ レッスン TUTORIAL の表示
  • 9. SQL インジェクション成功例 (WAF オフ ) ① Injection Flaws をクリック ② String SQL Injection をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション成功
  • 10. SQL インジェクション成功例 (WAF オン ) ① Restart this lesson をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション失敗 ② SQL injection ルールを Activate
  • 11. SQL インジェクション成功例 (WAF オン ) ① Restart this lesson をクリック ③‘ or ’1‘=’1 を入力 ④ SQL インジェクション失敗 ② SQL injection ルールを Activate
  • 12. WAF セキュリティポリシー設定 ① Web Security⇒Policy Configuration⇒WebSecurity ③ 保護対象の指定 (Domain/WebSite/Site Group) ④ ルール定義 ② Action: Forward/Block/Accept の選択
  • 13.
  • 14.
  • 15.
  • 16. 【特長】 HTTP/HTTPS 双方向でのトラフィッククリーニング All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd オンライン防御エンジン コンテンツフィルターリング モジュール Web サーバ ファーム Web サービス利用者 クリーニングされたトラフィック 混雑するトラフィック
  • 17.
  • 18. 構成方法 ① 透過 ( トランスペアレント ) 方式 ⇒ 本日のデモ構成 ② VLAN Trunk(802.1q) 方式 ③ ルーティング方式
  • 19.
  • 20. All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd

Notas do Editor

  1. OpenSource は、 ModSecurity 、 WebKnight
  2. April 19, 2010
  3. HTTP 0.9/1.0/1.1 可以加上 http 协议支持 ネットワークセキュリティ 改为: ネットワークレイヤ防御 ( 网络层防护) TCP/HTTP Flood 防御 改为: DDoS 攻撃対応( 说 ddos 更容易了解 ) トロイの木馬検知 删除目前不写该功能
  4. SSL アクセラレーション、 SSL オフロードの機能搭載 改为: SSL エンカプセレーション、 SSL オフロードの機能搭載 不提加速了,目前该功能不对外提。 Transparent proxy (加上该特点透明代理) 三段階循環式的セキュリティ防御 ?这个特点我不好像没有听过,这个应该是 WEB 应用安全防护体系的理论创新 ,相应的内容在下边 产品创新功能: WEB 应用安全防护体系的理论创新 :针对 WEB 安全事件发生时序,自主创新 NPRS ( NSFOCUS Proactive and Reactive Security )安全建模,提供事前预防、事中防护及事后补偿的 WEB 应用安全综合解决方案,形成可循环的安全闭环。 攻击防护模型的技术创新 :有效结合静态规则与基于用户行为识别的动态防御机制,构建其防护模型。 系统架构的技术创新 :在内核层面实现了 TCP/IP 协议栈 2-4 层的完全透明代理,确保产品在网络中即插即用而无需修改网络及服务器配置,极大提高产品网络适应能力、降低了部署、维护开销。 基于网络方式的“网页篡改防护技术”
  5. 1 段階 スキャンしてポリシーに範囲  2 段階攻撃から WebSV を守る  3 段階 万一改竄されても元に戻す