問題タブ [web-application-firewall]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
evaluation - WAF (Web アプリケーション ファイアウォール) に求める基準は何ですか?
いくつかの WAF を評価しようとしています
1) パフォーマンス
2) カバレッジ
3) 精度
4) スケーラブル
私が調べていることはほとんどありませんが、WAF を評価している場合、他に何を調べますか?
amazon-web-services - AWS Web Application Firewall (WAF) を使用して、ユーザー認証を必要とする EC2 インスタンスで実行されているカスタム Web アプリケーションを保護できますか?
質問
WAF を使用して、ユーザーがリソースにアクセスする前にサードパーティの ID プロバイダーで認証する必要がある Web アプリケーションを保護できますか?
質問の動機
カスタム アプリケーションをファイアウォールで保護して、悪意のある要求からアプリケーションを保護するルールを作成できるようにしたいと考えています。WAF について読んだとき、それは適切なソリューションのように思えました。WAF は AWS CloudFront と組み合わせて使用する必要があり、CloudFront はパブリックにアクセス可能なコンテンツのみをキャッシュできることを読んだとき、私は心配になりました。プライベート コンテンツをキャッシュするという CloudFront の制限により、WAF ルールがプライベート コンテンツ宛てのリクエストに適用されなくなるのではないかと考え始めました。
背景情報
AWS EC2 インスタンスでホストされるカスタム Web アプリケーションを作成しました。Web アプリケーションには動的コンテンツが含まれており、HTTP GET/OPTIONS/POST/PUT/DELETE 動詞をサポートしています。カスタム Web アプリケーションでは、すべてのユーザーが ID プロバイダーで認証する必要があります。認証されていないユーザーがリソースにアクセスしようとすると、ブラウザーは、Web アプリケーションによってホストされているパブリックにアクセス可能なサインイン ページにリダイレクトされます。サインイン ページから、ユーザーは ID プロバイダーを選択できます。ID プロバイダーが選択されると、ユーザーのブラウザーは ID プロバイダーのログイン ダイアログにリダイレクトされ、資格情報の入力を求められます。認証されると、Web アプリケーション内の要求されたリソースにリダイレクトされます。
amazon-web-services - AWS WAF は、ラムダからリージョンに固有の IP セットとルールを更新します
ルール セットがグローバル (Cloudfront) の場合、ラムダから WAF IP アドレス ルール セットを正常に更新できます。
しかし、地域に固有のルール セットを作成して APP ELB で使用できるようにすると、get-ip-set または list-ip-set API が地域に固有の IP セットを取得しないため、取得できません。これらのルール セットをラムダから直接更新します。
地域固有のこれらのルール セットを取得できるようにするために渡す必要がある追加のパラメーターはありますか
oracle - 動的 SQL ステートメントの UNION
私が達成しようとしているのは、本質的にこれです:
私は実際には Web アプリケーション ファイアウォールをバイパスしようとしているペネトレーション テスターなので、反対側から見るとこれはばかげている/奇妙に見えると確信しています。UNION
基本的に、フィルターをバイパスするには動的クエリを実行できる必要があります。したがって、この例では、この関数を使用して Java から Oracle DB に文字列を渡しています。
クエリの何が問題なのかについてデータベースからのフィードバックはなく、誰かが同様のことをしているドキュメントが見つかりませんでした。UNION
単純な動的 SQL 文字列を使用した通常のクエリの簡単な例が必要です。
.net - Identity Server と NetScaler ADC
当社では現在、自社開発アプリケーションのほとんどでシンプルな AD 認証生活を送っています。しかし、より高度なセキュリティ ソリューションの必要性がますます高まっています。社内だけでなくプライベート ドメインの外でも利用できる Web サイト、アプリ、サービスがあり、会社のアプリは私用の電話にインストールされており、政府などの外部認証サービスの使用を検討しています。 ..多くの可動部分。
現在、いくつかのカスタム セキュリティ ソリューションの開発を開始する段階にあり、それに伴うすべての欠点 (セキュリティ ホールの可能性、SSO なし、コードの重複) があります。そのため、集中型の認証/承認プラットフォームを探していますが、Identity Serverはその要求に完全に適合しているようです。主に .NET で開発しています。しかし、これは開発者としての私たちの側からの投資になるでしょう。
私の質問: セキュリティ チームの同僚は、Citrix NetScaler ADCのような新しいアプリケーション ファイアウォールのセットアップを検討しており、これが Identity Server の優れた代替手段であると考えていますが、私には疑問があります。多くのドキュメント、確かにソリューションが必要なドメイン内ではありません (OAuth、OpenID、AAD、SSO、カスタマイズ)。したがって、この製品のサプライヤとさらに話をする前に、NetScaler ADC のようなアプリケーション ファイアウォールの経験があり、それらが Identity Server とどのように比較されるかを知りたいと思っていました。
ありがとう。