OWASP AppSec USA 2013 レポート(後編):無償かつ高機能な「ModSecurity」をもっと活用しよう! (1/2) - @IT(情報元のブックマーク数)
OWASP USA 2013のレポート。第2弾は、ハンズオンとHTML5セキュリティ
ModSecurityでは、攻撃を検知するための基本的なルールセットが準備されており、「Core Rule Set」(CRS)と呼ばれています。現在はOWASPがCRSをメンテナンスしています。
無償かつ高機能な「ModSecurity」をもっと活用しよう! (1/2):OWASP AppSec USA 2013 レポート(後編) - @IT
トレーニングはハンズオン形式で行われました。まず、講師が典型的なWebアプリケーションへの攻撃手法を解説し、その後ModSecurityを使い、解説した攻撃をどう検知するかについての演習を行いました。ハンズオンではOWASPが開発した脆弱なアプリケーションをインストールした仮想マシン、「OWASP Broken Web Applications」を利用しました。
興味深い
無償かつ高機能な「ModSecurity」をもっと活用しよう! (2/2):OWASP AppSec USA 2013 レポート(後編) - @ITHTML5: Risky Business or Hidden Security Tool Chest?
リッチなWebエクスペリエンスの提供が可能となることや、Tizen、Firefox OSといったスマートフォン向けOSでも採用されていることから注目の高い「HTML5」ですが、高機能であるが故に、セキュリティ上の懸念がいろいろと指摘されています。
このセッションでも、「Local StorageはXSSで簡単に漏えいするリスクがある」とか、「Geolocationは偽装が容易である」といった、HTML5の新機能とそのセキュリティ上への懸念が紹介されました。
逆に、HTML5の新機能をセキュリティ向上に積極的に役立てる可能性についても言及がありました。例えば、canvas機能を用いてグラフィカルな認証を実現したり、クライアントサイドでの暗号化機能を用い、情報を暗号化した上でクラウドサービスに送信するといった活用例が紹介されました。
