元パチ屋店員NWエンジニアの技術ブログ

元パチ屋店員NWエンジニアが技術のアウトプット化を目的に、好き勝手な事を書いてるブログです

第9回ゼロから始めるセキュリティ入門 勉強会

f:id:hayato-ota-rf:20170909191146p:plain

weeyble-security.connpass.com

ゼロから始めるセキュリティ入門 勉強会のセミナーレポートです
その中でもWAFの話しが印象に残ったので、それをレポートします

WAFを入れれば良いってもんじゃないんだぜ?

この発表をして頂いた方は、脆弱性の診断や解析を仕事としているらしく、

ある企業の脆弱性診断を行った際に、次の面白い現象が起きたみたいです

・攻撃方法

SQLインジェクション

・防御方法

WAF

・現象

同様のWebアプリケーション&DBにSQLインジェクションをhttpとhttpsでそれぞれ実行

そうすると片方では成功し、もう片方では失敗

皆さんは、httpとhttpsのどっちがSQLインジェクションに成功したか分かりますか?(理由も)

正解は・・・

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

httpsです!!

httpsだと通信内容が暗号化されている為、WAFがSQLインジェクションを検知できずにスルーしてしまったことが原因だろうとのことでした

まあそもそもWebアプリケーションに脆弱性があるのが問題な感は否めないけど

f:id:hayato-ota-rf:20170904073800j:plain

f:id:hayato-ota-rf:20170904073808j:plain

WAFの設定とか仕様にもよる現象だとは思いますが、WAFに通信を通す時はプロキシサーバとか使って、httpsをhttpに落とし込むのがベストプラクティスみたいです

f:id:hayato-ota-rf:20170904073814j:plain

わりと大きな企業でも、WAF入れてりゃあ大丈夫だろうと思っているとこがあるらしいです

そうではなく、WAFはあくまでも最終防衛ラインで考えることが大事とことでした

 

DDosとかはWAFや下位レイヤーのセキュリティ装置に頼るのも仕方ない感はあるけど

SQLインジェクションとかクロスサイトスクリプティングとかはWebアプリ側の対策が重要だと思います(それするの開発側だけどな!)

開発屋さんマジリスペクト