ITエンジニア向け– category –
-
ITエンジニア向け
Webアプリケーション攻撃入門 記事一覧
Webアプリケーションには様々な脆弱性が存在し、それらを突いたサイバー攻撃が増加しています。SQLインジェクションやクロスサイトスクリプティングなどの攻撃手法により、情報漏洩やデータ改ざんなどの深刻な被害が発生する可能性があります。 本シリーズ... -
ITエンジニア向け
Wordファイル(.docx)のテキストとコメントをXMLから読み取るPythonコードを紹介 – python-docx/unstructuredで読み取れない文字も読み取れます!
ChatGPTなどの生成AIに社内文書などの外部情報を与え、チャットBotに回答させるといった、RAG(Retrieval-Augmented Generation)の活用が進んでいます。弊社でも、同様のシステム開発を行いましたが、既存のライブラリやサービスではWordファイルのテキスト... -
ITエンジニア向け
基礎から理解するWAF入門: 第3回 セキュリティガイドラインについて
Webアプリケーションのセキュリティ対応を行うには、セキュリティガイドラインを理解しておくことが重要です。 セキュリティガイドラインとは、組織や個人が情報セキュリティリスクを管理し、データを保護するために従うべき推奨事項や手順の集合です。こ... -
ITエンジニア向け
基礎から理解するWAF入門: 第2回 脆弱性とWAFの必要性について
現代のデジタル化された社会において、企業や組織のWebアプリケーションは、サービス提供の主要な手段となっていますが、これらのアプリケーションが直面するセキュリティの脅威は日増しに進化し、高度化しています。 そのため、Webアプリケーションファイ... -
ITエンジニア向け
基礎から理解するWAF入門: 第1回 WAF(Web Application Firewall)とは
WAF(Web Application Firewall)は、不正なトラヒックや攻撃からWebアプリケーションを守るために使用され、セキュリティにおいて重要な役割を果たします。 WAFのデプロイの形式は、Network-based、Host-based、Cloud-basedの3つあります。多くの場合、WAF... -
ITエンジニア向け
基礎から理解するWAF入門: 第5回 WAFの導入方法について
本シリーズ最終回となるこの記事では、クラウド型WAFの導入方法について紹介します。 クラウド型WAFの導入は手順自体は簡単ですが、誤検知が起こるリスクがあるため、それをケアしながら導入を進める必要があります。本記事では、後検知のケアも含めた導入... -
ITエンジニア向け
CloudFrontのアクセスログを分析用に最適化して可視化する – 第2回: AWS GlueでParquet化とパーティショニングを行う
本記事では、AWS Glueを使ってCloudFrontのアクセスログを分析用に最適化する方法について解説します。Glueは、データの変換をサーバレスで行うためのサービスであり、PySparkをGlue上で実行することでアクセスログを最適化します。本記事では、PySparkの... -
ITエンジニア向け
CloudFrontのアクセスログを分析用に最適化して可視化する – 第1回: Amazon CloudFrontのログを分析するメリットとその課題
Amazon CloudFrontでは、アクセスログを取得することができます。 アクセスログを分析することでWebビジネスに役立つインサイトを得ることができます。 このようにビジネス上の意思決定に役立つアクセスログですが、CloudFrontのアクセスログはそのまま分... -
ITエンジニア向け
CloudFront FunctionsでWordPressのプレビューが更新されるようにする
Amazon CloudFrontでWordPressサイトをキャッシュすることでページ表示速度の高速化とサーバー負荷の削減ができるメリットがあります。 一方で、AWSのガイドに従い、WordPressサイトの管理者用ページをキャッシュしない設定にした場合でも、記事のプレビュ... -
ITエンジニア向け
基礎から理解するWAF入門: 第4回 WAFで防ぐWebアプリケーション攻撃
この記事では、WAFが防ぐことのできる攻撃について解説します。様々なITベンダーがWAFのサービスを提供していますが、今回はAWS (Amazon Web Services) が提供しているAWS WAFに焦点を当て。AWS WAFが検知・遮断可能なものの中で、主だったものを紹介しま... -
ITエンジニア向け
Webアプリケーション攻撃入門: 第4回 クリックジャッキングとバッファオーバフロー
本記事は、Webアプリケーション攻撃入門シリーズの最終回であり、次の2つの脆弱性について解説します。 クリックジャッキング バッファオーバーフロー クリックジャッキング クリックジャッキングは、「UI Re-Dressing(リドレッシング)」とも呼ばれ、ユー... -
ITエンジニア向け
Amazon Lightsailとは? 影が薄いけど実は良いサービスなので、EC2と比較したメリットとデメリットを解説します
Amazon Lightsailは、AWSが提供するVPSサービスです。WordPress環境を数クリックで構築できることができます。 実際に使ってみると安くてユーザーが欲しい機能を抑えている良いサービスなのですが、知名度が高くないので、Lightsailが適しているケースなの... -
ITエンジニア向け
Webアプリケーション攻撃入門: 第3回 不正アクセスとセッション管理
本記事では、不正アクセスとセッション管理に関連した以下の脆弱性について解説します。 パス名パラメータの未チェック/ディレクトリ・トラバーサル アクセス制御や認可制御の欠落 セッション管理の不備 CSRF(クロスサイト・リクエスト・フォージェリ) ... -
ITエンジニア向け
AWS CDK(Typescript)でWordPress用のWAFの設定を行う
この記事では、IaCツールであるAWS CDKを使って、AWS WAFを設定する方法を解説します。 AWS WAFは比較的設定項目が多いため、CDKでコード化することで設定全体の見通しが良くなります。 設定する内容は、次の記事で解説したWAFの誤検知対策を含めたものに... -
ITエンジニア向け
AWS WAFでWordPressサイトを保護する設定を紹介 – 誤検知の対処法も解説します-
AWS WAFとは? AWS WAF(Web Application Firewall)は、Webアプリケーションを不正アクセスや攻撃から保護するためのサービスです。AWS WAFを利用することで、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃を防ぐこと... -
ITエンジニア向け
Webアプリケーション攻撃 第2回: インジェクション系 後編
本記事は、インジェクション系攻撃手法紹介の後編です。今回は次の2つのインジェクション系攻撃について解説していきます。 HTTPヘッダ・インジェクション メールヘッダ・インジェクション HTTPヘッダ・インジェクション HTTPヘッダ・インジェクションは、... -
ITエンジニア向け
Webアプリケーション攻撃入門 第1回: インジェクション系 前編
本シリーズでは、Webアプリケーションの脆弱性を突く攻撃について順に解説します。解説する脆弱性は、IPAが提供している「安全なウェブサイトの作り方」で紹介されている11の脆弱性に準拠しています。安全なウェブサイトの作り方」は、開発者や管理者向け... -
ITエンジニア向け
Amazon CloudFrontのキャッシュ削除機能とその考慮点
CloudFront(CDN)には、一度リクエストされたコンテンツをキャッシュし、次のリクエストで再利用する機能があります。 この機能は、ページロードの高速化とオリジンサーバーの負荷削減に役立ちますが、何らかの理由でキャッシュを削除したいことがあります...