ockeghem https://blog.hatena.ne.jp/ockeghem/ ockeghem's blog https://ockeghem.hatenablog.jp/ セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く（大半）がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動する… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fockeghem.hatenablog.jp%2Fentry%2F20100507%2Fp1" title="“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem&#39;s blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> http://www.assoc-amazon.jp/e/ir?t=jisakucompile-22&l=as2&o=9&a=4774142174 Hatena Blog https://hatena.blog 2010-05-07 00:00:00 rich https://ockeghem.hatenablog.jp/entry/20100507/p1 1.0 100%