WAF(Webアプリケーション・ファイアウォール)のハッキングについて、セキュリティ専門会議OWASP Europe 2009で報告されたという記事。
Researchers Hack Web Application Firewalls - DarkReading
2種類のツールが紹介され、WafW00fがWAFの存在を検知して場合によってそのブランドも特定、WafFunが穴を見つけて迂回する。
シグネチャだけを使い、他の機能、たとえば正規化やエンコーディング/デコーディングを持っていない製品は、真のWAFではない
「問題なのは、多くのWAF製品がほんとに悪い設計上の欠陥を抱えており、進入できてしまうということ。」Web通信にホワイトリストを使うのがより強力な方式だが、大規模Webサイトでは実用的でない場合もある。
「一般的に、ネガティブの(ブラックリストの)方式を使うことが多く、そうするとWAFは攻撃に対して無力になってしまう。」
だいたいブラックリストしか使わないならWAFの意味が無いでしょ。
Leave a comment