Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WAFのルールである OWASP ModSecurity Core Rule Set (CRS...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
delphinz
September 21, 2018
Technology
2
1.7k
WAFのルールである OWASP ModSecurity Core Rule Set (CRS)を 使った可視化までの苦労話/20180921_owasp_connect_crs
delphinz
September 21, 2018
Tweet
Share
More Decks by delphinz
See All by delphinz
【セキュリティ競技】MINI Hardeningのご紹介 / MINI Hardneing4 introduction
delphinz
1
1.6k
20200209MINI_INFRA
delphinz
1
400
MINI Hardening Road to Taiwan(2019 HITCON CMT)
delphinz
0
1k
淡路島で開催されたhardening2017fesにプレミアムサポートメンバーで参加してきたよ。/20171202-go-for-hardening2017fes
delphinz
0
170
Other Decks in Technology
See All in Technology
Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを 一緒にやると何がいいのか~
a2ush
0
180
ThetaOS - A Mythical Machine comes Alive
aslander
0
220
JEDAI認定プログラム JEDAI Order 2026 受賞者一覧 / JEDAI Order 2026 Winners
databricksjapan
0
400
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
BFCacheを活用して無限スクロールのUX を改善した話
apple_yagi
0
130
非同期・イベント駆動処理の分散トレーシングの繋げ方
ichikawaken
1
230
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
4
1.3k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
Oracle Cloud Infrastructure:2026年3月度サービス・アップデート
oracle4engineer
PRO
0
200
RGBに陥らないために -プロダクトの価値を届けるまで-
righttouch
PRO
0
130
Kubernetesの「隠れメモリ消費」によるNode共倒れと、Request適正化という処方箋
g0xu
0
160
AIにより大幅に強化された AWS Transform Customを触ってみる
0air
0
200
Featured
See All Featured
From π to Pie charts
rasagy
0
160
Why Our Code Smells
bkeepers
PRO
340
58k
Ethics towards AI in product and experience design
skipperchong
2
240
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
RailsConf 2023
tenderlove
30
1.4k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
210
The Invisible Side of Design
smashingmag
302
51k
The Limits of Empathy - UXLibs8
cassininazir
1
280
Deep Space Network (abreviated)
tonyrice
0
97
Git: the NoSQL Database
bkeepers
PRO
432
67k
So, you think you're a good person
axbom
PRO
2
2k
Darren the Foodie - Storyboard
khoart
PRO
3
3.1k
Transcript
WAFͷϧʔϧͰ͋Δ OWASP ModSecurity Core Rule Set (CRS)Λ ͬͨՄࢹԽ·Ͱͷۤ࿑ !EFMQIJO[ 08"41$POOFDU!'PMJP
໊લɿ Masahiro Tabataʢ@delphinzʣ ࣄɿγεςϜίϯαϧλϯτ ηΩϡϦςΟͨ͠ͳΈఔ झຯओʹङྌ࠾ूɻ BBQͰϚάϩͦͯ͠ಲΛ͖͞·͢ɻ MINI
Hardening ӡӦϝϯόʔ(ϑΝγ Ϧςʔγϣϯʣͬͯ·͢♫ ࣗݾհ ʹ+"84%":Ͱ08"41ͱ .*/*IBSEFOJOHΛએதͷ༷ࢠ
.*/*IBSEFOJOHͰฉ͍ͨ ʢݫ͍͠ʣ͝ҙݟɾཁ ɾΠϚυΩ"QBDIFͱ͔Θͳ͍͠ʔʂ ɾ8"'ͱ͔ೖͬͯͳ͍αʔϏε͋Γ·͔͢ʔʁ
ΑΖ͍͠ ͳΒOHJOY NPETFDVSJUZͩʂ
NPETFDVSJUZʹ$34Λఴ͑ͯ .PETFDVSJUZ w .PE4FDVSJUZΦʔϓϯιʔεͷ8FCΞϓϦέʔγϣϯϑΝΠΞΥʔ ϧ 8"' Ͱɺ"QBDIFɺOHJOYɺ**4ͷϞδϡʔϧͱͯ͠ಈ࡞͢Δɻ ։ൃ4QJEFS-BCT͕ߦ͍ͬͯΔɻ IUUQTHJUIVCDPN4QJEFS-BCT.PE4FDVSJUZ 08"41NPETFDVSJUZ$PSF3VMF4FU
w 08"41͕ఏڙ͢ΔNPETFDVSJUZ༻ͷ߈ܸΛݕ͢Δجຊతͳϧʔϧ ηοτ IUUQTXXXPXBTQPSHJOEFYQIQ$BUFHPSZ08"
[email protected]
@$PSF@3VMF@4FU@1SPKFDU
OHJOY NPETFDVSJZͷ᠘ w "QBDIFͷ߹΄ͱΜͲͷMJOVYύοέʔδͰެࣜఏڙ͞ Ε͍ͯΔɻ OHJOYιʔε͔ΒͷϏϧυ͕ඞཁʂ w ެࣜͲ͏ΓʹͬͯઈରʹೖΒͳ͍ʂ CVJME࣌ͷϢʔβʔࢦఆ͕ඞཁ
ύοέʔδ͕Γͳ͍ͱಈ͔ͳ͍ɻ ΤϥʔΛు͔ͳ͍ʢٽʣ
͓Αͦਓྨͷखʹෛ͑ͳ͍ ϩάग़ྗܗࣜ
ՄࢹԽπʔϧΛࢼͯ͠ΈΔ w "VEJU$POTPMF NPETFDVSJUZͷϩάΛཧ͢ΔͨΊʹ࡞ΒΕͨ+BWBΞϓ Ϧέʔγϣϯ 5PNDBU্ʹల։͞Εͯ8&#ϒϥβ͔Βϩάͷऩूɺ อଘɺϑΟϧλϦϯάͳͲͷػೳΛఏڙ͢Δɻ IUUQXXXKXBMMPSHXFCBVEJUDPOTPMFJOEFYKTQ
͜Ε"VEJU$POTPMFͷ᠘͔ w +BWBܾΊଧͪɺެࣜͲ͓Γͩͱ͕ೖΓಈ͔ͳ͍ w SPPUҎԼʹஔ͠ͳ͍ͱϦΞϧλΠϜϩάऔࠐෆՄ w ϦΞϧλΠϜग़ྗʹඞཁͳNMPHDʢNPETFDVSJUZͷϩάग़ ྗπʔϧʣBQBDIF൛ͷΈରԠɺOHJOYඇରԠ w όονܗࣜͷସπʔϧ
QFSM OHJOY൛Ͱಈ͔ͳ͍ w BVEJUDPOTPMF͕ఏڙ͢Δϩάૹ৴πʔϧͰ༻ ʢͨͩ͠ɺҰׅૹ৴Ͱࠩૹ৴Ͱ͖ͳ͍ʣ
ແࣄʹՄࢹԽʹޭ͠·ͨ͠ʂ w ͱΓ͋͑ͣ.*/*IBSEFOJOHͰൃੜͨ͠NPETFDVSJZϩά ΛҰׅͰऔΓࠐΜͰΈΔͱ͜Μͳײ͡
͓·͚ɿ$34࡞ऀͷϫφ w 08"41ެࣜͷ$34ͷઆ໌ʹʮϥΠΞϯɾόʔωοτʯͷه ࡌ͋Γ w ʮϥΠΞϯɾόʔωοτʯͱ͍͑%%04ରࡦͷαʔϏεͰ ༗໊ͳ1SPMFYJDࣾʢͷͪʹ"LBNBJ͕ങऩʣͷۀऀ ʢৄࡉॻ੶ʮαΠόʔɾΫϥΠϜʯΛࢀরʣ
͡Όɺͳ͍ਓͩͬͨʂ
͓·͚ɿ$34࡞ऀͷϫφ w ޡΓʮ-ZPOʯਖ਼͘͠ʮ3ZBOʯͰͨ͠ɻ ϥΠΞϯɾόʔωοτͷ௲Γʹҙʂ ޡɿ ਖ਼ɿ ͪ͜Β͕$34ͷ࡞ऀͰͨ͠ʂ
݁ɿPTTͷΈͰͷ8"'ೖ ਏ͍ɺֶ͕ͼ͋ͬͨ w 8"'ͷΈΛΔ͜ͱ͕Ͱ͖ͨɻ ༻8"'Λ͑ͳ͍ਓPTT͔ΒॳΊͯྑ͍͔ɻ w ݕઐ༻ͷઃఆʹͯ͠ΒΕαʔόΛ͍͡ΔͱͲΜͳΞΫηε͕ 8"'ʹҾ͔͔ͬΔ͔ݟΕΔɻ w ଞͷPTT8"'࣌ؒ
ͱϞνϕʔγϣϯ ͕͋Εࢼͯ͠Έ͍ͨɻ w 7BHSBOU BOTJCMFͰॻ͍ͨͷͰHJUެ։͍ͨ͠ ͔ w ਖ਼͍͠࡞ऀ͕Θ͔ͬͨʂ
ͪΐͬͱࠂ .*/*IBSEFOJOH։࠵༧ఆ w ੈքॳʂʁɹςʔϚʮԾ௨՟ࢢΛकΓ͖Εʂʯ w ౦ژ!:BIPPͰ։࠵ɺͦͷޙෳճ։࠵༧ఆ ౦ژҎ֎Ͱ໊ݹɺେࡕͰͷ։࠵Λௐத ଞͷҬͰͷ։࠵ཁΛ͓͓ͪͯ͠Γ·͢ʂ w ࢀՃرͷํ$POOQBTTΛνΣοΫ͍ͯͩ͘͠͞ɻ
IUUQTNJOJIBSEFOJOHDPOOQBTTDPN
"QQFOEJY w 8FC"QQMJDBUJPO'JSFXBMM 8"' ಡຊվగୈ̎൛ IUUQTXXXJQBHPKQpMFTQEG w 08"41.PE4FDVSJUZ$PSF3VMF4FU3ZBO#BSOFUUQQU IUUQTXXXPXBTQPSHJOEFYQIQ 'JMF08"
[email protected]
@$PSF@3VMF@4FU3ZBO@#BSOFUUQQU