Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WAFのルールである OWASP ModSecurity Core Rule Set (CRS...
Search
delphinz
September 21, 2018
Technology
2
1.5k
WAFのルールである OWASP ModSecurity Core Rule Set (CRS)を 使った可視化までの苦労話/20180921_owasp_connect_crs
delphinz
September 21, 2018
Tweet
Share
More Decks by delphinz
See All by delphinz
【セキュリティ競技】MINI Hardeningのご紹介 / MINI Hardneing4 introduction
delphinz
1
1k
20200209MINI_INFRA
delphinz
1
340
MINI Hardening Road to Taiwan(2019 HITCON CMT)
delphinz
0
830
淡路島で開催されたhardening2017fesにプレミアムサポートメンバーで参加してきたよ。/20171202-go-for-hardening2017fes
delphinz
0
120
Other Decks in Technology
See All in Technology
可視化により内部品質をあげるAIドキュメントリバース/20240910 Hiromitsu Akiba
shift_evolve
0
230
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
46k
サプライチェーン攻撃に備える
ryunen344
0
410
スタッフエンジニアの道: The Staff Engineer’s Path
snoozer05
PRO
44
15k
ついに出た!OpenAIの最新モデル「o1」って何がすごいの?
minorun365
PRO
3
1.3k
持続可能なソフトウェア開発を支える『GitHub CI/CD実践ガイド』
tmknom
8
1.5k
『GRANBLUE FANTASY Relink』ソフトウェアラスタライザによる実践的なオクルージョンカリング
cygames
0
180
学術機関におけるID連携とOpenID Connect
fujie
0
340
Tricentisにおけるテスト自動化へのAI活用ご紹介/20240910Shunsuke Katakura
shift_evolve
0
210
OSTという文化を組織に根付かせてみた
sansantech
PRO
2
450
どこよりも遅めなWinActor Ver.7.5.0 新機能紹介
tamai_63
0
210
Oracle Autonomous Database:サービス概要のご紹介
oracle4engineer
PRO
1
7.1k
Featured
See All Featured
Practical Orchestrator
shlominoach
185
10k
Automating Front-end Workflow
addyosmani
1365
200k
How to name files
jennybc
75
98k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
23
1.7k
Side Projects
sachag
451
42k
Debugging Ruby Performance
tmm1
72
12k
For a Future-Friendly Web
brad_frost
174
9.3k
Become a Pro
speakerdeck
PRO
22
4.9k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
Mobile First: as difficult as doing things right
swwweet
221
8.8k
Building a Scalable Design System with Sketch
lauravandoore
458
32k
Transcript
WAFͷϧʔϧͰ͋Δ OWASP ModSecurity Core Rule Set (CRS)Λ ͬͨՄࢹԽ·Ͱͷۤ࿑ !EFMQIJO[ 08"41$POOFDU!'PMJP
໊લɿ Masahiro Tabataʢ@delphinzʣ ࣄɿγεςϜίϯαϧλϯτ ηΩϡϦςΟͨ͠ͳΈఔ झຯओʹङྌ࠾ूɻ BBQͰϚάϩͦͯ͠ಲΛ͖͞·͢ɻ MINI
Hardening ӡӦϝϯόʔ(ϑΝγ Ϧςʔγϣϯʣͬͯ·͢♫ ࣗݾհ ʹ+"84%":Ͱ08"41ͱ .*/*IBSEFOJOHΛએதͷ༷ࢠ
.*/*IBSEFOJOHͰฉ͍ͨ ʢݫ͍͠ʣ͝ҙݟɾཁ ɾΠϚυΩ"QBDIFͱ͔Θͳ͍͠ʔʂ ɾ8"'ͱ͔ೖͬͯͳ͍αʔϏε͋Γ·͔͢ʔʁ
ΑΖ͍͠ ͳΒOHJOY NPETFDVSJUZͩʂ
NPETFDVSJUZʹ$34Λఴ͑ͯ .PETFDVSJUZ w .PE4FDVSJUZΦʔϓϯιʔεͷ8FCΞϓϦέʔγϣϯϑΝΠΞΥʔ ϧ 8"' Ͱɺ"QBDIFɺOHJOYɺ**4ͷϞδϡʔϧͱͯ͠ಈ࡞͢Δɻ ։ൃ4QJEFS-BCT͕ߦ͍ͬͯΔɻ IUUQTHJUIVCDPN4QJEFS-BCT.PE4FDVSJUZ 08"41NPETFDVSJUZ$PSF3VMF4FU
w 08"41͕ఏڙ͢ΔNPETFDVSJUZ༻ͷ߈ܸΛݕ͢Δجຊతͳϧʔϧ ηοτ IUUQTXXXPXBTQPSHJOEFYQIQ$BUFHPSZ08"
[email protected]
@$PSF@3VMF@4FU@1SPKFDU
OHJOY NPETFDVSJZͷ᠘ w "QBDIFͷ߹΄ͱΜͲͷMJOVYύοέʔδͰެࣜఏڙ͞ Ε͍ͯΔɻ OHJOYιʔε͔ΒͷϏϧυ͕ඞཁʂ w ެࣜͲ͏ΓʹͬͯઈରʹೖΒͳ͍ʂ CVJME࣌ͷϢʔβʔࢦఆ͕ඞཁ
ύοέʔδ͕Γͳ͍ͱಈ͔ͳ͍ɻ ΤϥʔΛు͔ͳ͍ʢٽʣ
͓Αͦਓྨͷखʹෛ͑ͳ͍ ϩάग़ྗܗࣜ
ՄࢹԽπʔϧΛࢼͯ͠ΈΔ w "VEJU$POTPMF NPETFDVSJUZͷϩάΛཧ͢ΔͨΊʹ࡞ΒΕͨ+BWBΞϓ Ϧέʔγϣϯ 5PNDBU্ʹల։͞Εͯ8&#ϒϥβ͔Βϩάͷऩूɺ อଘɺϑΟϧλϦϯάͳͲͷػೳΛఏڙ͢Δɻ IUUQXXXKXBMMPSHXFCBVEJUDPOTPMFJOEFYKTQ
͜Ε"VEJU$POTPMFͷ᠘͔ w +BWBܾΊଧͪɺެࣜͲ͓Γͩͱ͕ೖΓಈ͔ͳ͍ w SPPUҎԼʹஔ͠ͳ͍ͱϦΞϧλΠϜϩάऔࠐෆՄ w ϦΞϧλΠϜग़ྗʹඞཁͳNMPHDʢNPETFDVSJUZͷϩάग़ ྗπʔϧʣBQBDIF൛ͷΈରԠɺOHJOYඇରԠ w όονܗࣜͷସπʔϧ
QFSM OHJOY൛Ͱಈ͔ͳ͍ w BVEJUDPOTPMF͕ఏڙ͢Δϩάૹ৴πʔϧͰ༻ ʢͨͩ͠ɺҰׅૹ৴Ͱࠩૹ৴Ͱ͖ͳ͍ʣ
ແࣄʹՄࢹԽʹޭ͠·ͨ͠ʂ w ͱΓ͋͑ͣ.*/*IBSEFOJOHͰൃੜͨ͠NPETFDVSJZϩά ΛҰׅͰऔΓࠐΜͰΈΔͱ͜Μͳײ͡
͓·͚ɿ$34࡞ऀͷϫφ w 08"41ެࣜͷ$34ͷઆ໌ʹʮϥΠΞϯɾόʔωοτʯͷه ࡌ͋Γ w ʮϥΠΞϯɾόʔωοτʯͱ͍͑%%04ରࡦͷαʔϏεͰ ༗໊ͳ1SPMFYJDࣾʢͷͪʹ"LBNBJ͕ങऩʣͷۀऀ ʢৄࡉॻ੶ʮαΠόʔɾΫϥΠϜʯΛࢀরʣ
͡Όɺͳ͍ਓͩͬͨʂ
͓·͚ɿ$34࡞ऀͷϫφ w ޡΓʮ-ZPOʯਖ਼͘͠ʮ3ZBOʯͰͨ͠ɻ ϥΠΞϯɾόʔωοτͷ௲Γʹҙʂ ޡɿ ਖ਼ɿ ͪ͜Β͕$34ͷ࡞ऀͰͨ͠ʂ
݁ɿPTTͷΈͰͷ8"'ೖ ਏ͍ɺֶ͕ͼ͋ͬͨ w 8"'ͷΈΛΔ͜ͱ͕Ͱ͖ͨɻ ༻8"'Λ͑ͳ͍ਓPTT͔ΒॳΊͯྑ͍͔ɻ w ݕઐ༻ͷઃఆʹͯ͠ΒΕαʔόΛ͍͡ΔͱͲΜͳΞΫηε͕ 8"'ʹҾ͔͔ͬΔ͔ݟΕΔɻ w ଞͷPTT8"'࣌ؒ
ͱϞνϕʔγϣϯ ͕͋Εࢼͯ͠Έ͍ͨɻ w 7BHSBOU BOTJCMFͰॻ͍ͨͷͰHJUެ։͍ͨ͠ ͔ w ਖ਼͍͠࡞ऀ͕Θ͔ͬͨʂ
ͪΐͬͱࠂ .*/*IBSEFOJOH։࠵༧ఆ w ੈքॳʂʁɹςʔϚʮԾ௨՟ࢢΛकΓ͖Εʂʯ w ౦ژ!:BIPPͰ։࠵ɺͦͷޙෳճ։࠵༧ఆ ౦ژҎ֎Ͱ໊ݹɺେࡕͰͷ։࠵Λௐத ଞͷҬͰͷ։࠵ཁΛ͓͓ͪͯ͠Γ·͢ʂ w ࢀՃرͷํ$POOQBTTΛνΣοΫ͍ͯͩ͘͠͞ɻ
IUUQTNJOJIBSEFOJOHDPOOQBTTDPN
"QQFOEJY w 8FC"QQMJDBUJPO'JSFXBMM 8"' ಡຊվగୈ̎൛ IUUQTXXXJQBHPKQpMFTQEG w 08"41.PE4FDVSJUZ$PSF3VMF4FU3ZBO#BSOFUUQQU IUUQTXXXPXBTQPSHJOEFYQIQ 'JMF08"
[email protected]
@$PSF@3VMF@4FU3ZBO@#BSOFUUQQU