第9回ゼロから始めるセキュリティ入門 勉強会
ゼロから始めるセキュリティ入門 勉強会のセミナーレポートです
その中でもWAFの話しが印象に残ったので、それをレポートします
WAFを入れれば良いってもんじゃないんだぜ?
この発表をして頂いた方は、脆弱性の診断や解析を仕事としているらしく、
ある企業の脆弱性診断を行った際に、次の面白い現象が起きたみたいです
・攻撃方法
・防御方法
WAF
・現象
同様のWebアプリケーション&DBにSQLインジェクションをhttpとhttpsでそれぞれ実行
そうすると片方では成功し、もう片方では失敗
皆さんは、httpとhttpsのどっちがSQLインジェクションに成功したか分かりますか?(理由も)
正解は・・・
httpsです!!
httpsだと通信内容が暗号化されている為、WAFがSQLインジェクションを検知できずにスルーしてしまったことが原因だろうとのことでした
まあそもそもWebアプリケーションに脆弱性があるのが問題な感は否めないけど
WAFの設定とか仕様にもよる現象だとは思いますが、WAFに通信を通す時はプロキシサーバとか使って、httpsをhttpに落とし込むのがベストプラクティスみたいです
わりと大きな企業でも、WAF入れてりゃあ大丈夫だろうと思っているとこがあるらしいです
そうではなく、WAFはあくまでも最終防衛ラインで考えることが大事とことでした
DDosとかはWAFや下位レイヤーのセキュリティ装置に頼るのも仕方ない感はあるけど
SQLインジェクションとかクロスサイトスクリプティングとかはWebアプリ側の対策が重要だと思います(それするの開発側だけどな!)
開発屋さんマジリスペクト