20220725_developersio2022-waf-rule

Transcript

1. "84ࣄۀຊ෦ίϯαϧςΟϯά෦
   Ἑ୔
   ޿ত "84
   8"'ͷجૅʂϦΫΤετධՁͷ࢓૊Έͱ͸ʁ

2. ࣗݾ঺հ  Ἑ୔޿তʢAshizawa Hiroakiʣ • 2021೥9݄ೖࣾ • AWSιϦϡʔγϣϯΞʔΩςΫτ • ޷͖ͳAWSαʔϏε

   • Amazon S3 • AWS WAF

3. ຊηογϣϯʹ͍ͭͯ  w ର৅ࢹௌऀ
   w "84
   8"'Λӡ༻த΋͘͠͸͜Ε͔Βӡ༻͢Δํ
   w "84
   8"'ͷ֓ཁ͸஌͍ͬͯΔ͕΋ͬͱৄ͘͠ͳΓ͍ͨํ
   w ΰʔϧ
   

   w "84
   8"'ͷجຊతͳϦιʔεΛཧղ͢Δ
   w "84
   8"'͕ϦΫΤετΛͲͷΑ͏ʹධՁ͢Δ͔ΛΠϝʔδͰ ͖ΔΑ͏ʹͳΔ

4. ຊηογϣϯͰѻΘͳ͍͜ͱ  w Ұൠతͳ8"'ʹ͍ͭͯ
   w "84
   8"'ͷ۩ମతͳઃఆ΍ߏஙํ๏ʹ͍ͭͯ

5. ˞ ཹҙࣄ߲  w ຊηογϣϯͰݴٴ͢Δʮ"84
   8"'ʯ͸ɺ͢΂ͯ "84
   8"'
   Wͷ͜ͱΛࢦ͠·͢

6. ΞδΣϯμ  
   
   "84
   8"'ͷجૅ
   
   
   "84
   8"'ͷධՁͷ࢓૊Έ
   
   
   ·ͱΊ

7.  AWS WAFͷجૅ

8. "84
   8"'ͷجૅ  w "84
   8"'ͱ͸
   w "84
   8"'ͷߏ੒ཁૉ
   w "84
   8"'ͷΞΫγϣϯ

9. "84
   8"'ͱ͸  w "84͕ఏڙ͢Δ8"'ʢ8FC
   "QQMJDBUJPO
   'JSFXBMMʣ αʔϏε
   w ؆୯ʹσϓϩΠՄೳ
   w ैྔ՝ۚͰ҆Ձʹར༻։࢝Ͱ͖Δ
   w

   ΠϯϑϥετϥΫνϟ͸"84ଆ͕؅ཧ
   w ϧʔϧͷઃఆͳͲͷӡ༻͸ར༻ऀଆͷ੹೚ൣғ

10. "84
    8"'ͷߏ੒ཁૉ  w 8FC"$-
    w ϧʔϧ
    
    ϧʔϧάϧʔϓ

11. 8FC"$-  w 8FC"$-
    
    8FC
    "DDFTT
    $POUSPM
    -JTUͷུশ
    

12. 8FC"$-  w อޢର৅ͷ"84Ϧιʔεʹର͢Δ΢ΣϒϦΫΤετ Λ੍ޚ͢ΔϧʔϧΛೖΕΔശʢͷΑ͏ͳ΋ͷʣ
    

13. 8FC"$-  w ϧʔϧ͓ΑͼϧʔϧάϧʔϓΛઃఆͰ͖Δ
    w ઃఆͨ͠ϧʔϧ͓Αͼϧʔϧάϧʔϓʹ͸༏ઌॱҐ͕ ઃఆ͞ΕΔ
    

14. ϧʔϧͱ͸  ϧʔϧεςʔτϝϯτͱϧʔϧΞΫγϣϯͷηοτ
    w )551 4 ϦΫΤετΛݕࠪ͢Δج४ʢ
    ϧʔϧεςʔτϝϯτʣ
    w ݕࠪج४ʹҰகͨ͠ͱ͖ʹ࣮ߦ͢ΔΞΫγϣϯʢ
    ϧʔϧΞΫγϣϯʣ
    

15. ϧʔϧάϧʔϓͱ͸  w 8FC"$-ʹઃఆͰ͖Δ࠶ར༻Մೳͳϧʔϧͷηοτ
    w ֤αϒϧʔϧʹ͸༏ઌॱҐ͕ઃఆ͞ΕΔ
    

16. 8"'ͷΞΫγϣϯ  w σϑΥϧτΞΫγϣϯ
    w ϧʔϧΞΫγϣϯ

17. σϑΥϧτΞΫγϣϯͱ͸  w ϦΫΤετ͕8FC"$-ͷͲͷϧʔϧʹ΋Ұக͠ͳ ͔ͬͨ৔߹ɺ·ͨ͸શϧʔϧΛධՁ͠ऴΘͬͯ΋ऴྃ ͠ͳ͔ͬͨ৔߹ʹ8"'͕࣮ߦ͢ΔΞΫγϣϯ
    w 8FC"$-࡞੒࣌ʹ8FC"$-ࣗ਎΁ઃఆ͢Δ

18. σϑΥϧτΞΫγϣϯͷछྨ  w "MMPXʢڐՄʣ
    w #MPDLʢϒϩοΫʣ

19. σϑΥϧτΞΫγϣϯͱઃఆ͢Δ໨త  w "MMPXʢڐՄʣ
    w େ൒ͷϢʔβʔ͔ΒͷϦΫΤετ͸ڐՄ͠ɺ߈ܸऀ΍ѱҙͷ͋ΔϢʔ βʔ͔ΒͷϦΫΤετΛϒϩοΫ͍ͨ͠৔߹
    ‎ ͍ΘΏΔϒϥοΫϦετํࣜ
    w

    #MPDLʢϒϩοΫʣ
    w େ൒ͷϢʔβʔ͔ΒͷϦΫΤετ͸ःஅ͠ɺࢦఆ͞Εͨ*1ΞυϨε΍ ಛఆͷ஋ؚ͕·ΕΔϦΫΤετΛڐՄ͍ͨ͠৔߹
    ‎ ͍ΘΏΔϗϫΠτϦετํࣜ

20. ϧʔϧΞΫγϣϯ  w 8FC"$-ͷϧʔϧͰఆٛ͞Εͨ৚݅ʹҰகͨ͠ϦΫ Τετʹର͠8"'͕࣮ߦ͢ΔΞΫγϣϯ

21. ϧʔϧΞΫγϣϯͷछྨ  w "MMPXʢڐՄʣ
    w #MPDLʢϒϩοΫʣ
    w $PVOUʢΧ΢ϯτʣ
    w $"15$)"ʢΩϟϓνϟʣ

22. "MMPXΞΫγϣϯͱ͸  w ϦΫΤετΛڐՄ͢ΔϧʔϧΞΫγϣϯ
    w ࣮ߦޙɺϦΫΤετͷධՁΛऴྃ͠·͢

23. #MPDLΞΫγϣϯͱ͸  w ϦΫΤετΛϒϩοΫ͢ΔϧʔϧΞΫγϣϯ
    w ࣮ߦޙɺϦΫΤετͷධՁΛऴྃ͠·͢

24. $PVOUΞΫγϣϯͱ͸  w ϦΫΤετ͕Χ΢ϯτ͞Εͨ͜ͱΛϩά΍ϝτϦΫε ʹه࿥͢Δ͕ɺڐՄ͢Δͷ͔ϒϩοΫ͢Δͷ͔Λܾఆ ͠ͳ͍ϧʔϧΞΫγϣϯ
    w ޙଓͷϧʔϧ΁ͱϦΫΤετͷධՁΛܧଓ͢Δ

25. $"15$)"ΞΫγϣϯͱ͸  w ϦΫΤετʹର͠$"15$)"νΣοΫΛ࣮ߦ͠ɺਓؒ ͕ϦΫΤετΛૹ৴͍ͯ͠Δ͜ͱΛݕূ͢ΔϧʔϧΞΫ γϣϯ
    w νΣοΫͷ݁ՌʹԠͯ͡ൃߦ͞ΕΔτʔΫϯͷঢ়ଶʹ ΑͬͯϦΫΤετʹର͢ΔΞΫγϣϯͷ಺༰͕มԽ͢Δ
    w

    τʔΫϯ͕༗ޮɿڐՄ΍ϒϩοΫΛߦΘͳ͍
    w τʔΫϯ͕ແޮظݶ੾ΕɿϦΫΤετ͸ϒϩοΫ͞ΕΔ

26. $"15$)"νΣοΫͷΠϝʔδ  Ҿ༻ɿhttps://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-captcha-challenge.html

27. جૅ͕΋ͬͱΘ͔Δࢀߟϒϩά  w "84࠶ೖ໳
    "84
    8"'ฤ
    w "84
    8"'Λ׬શʹཧղ͢Δ
    d8"'ͷجૅ͔ΒWͷ มߋ఺·Ͱd

28.  AWS WAFͷධՁͷ࢓૊Έ

29. "84
    8"'ͷධՁͷ࢓૊Έ  w ༏ઌॱҐʹΑΔධՁॱং
    w ϧʔϧͷऴྃΞΫγϣϯ

30. ༏ઌॱҐʹΑΔධՁॱং  w 8FC"$-΍ϧʔϧάϧʔϓʹઃఆ͞Εͨ༏ઌॱҐͷ਺ ஋ͷখ͍͞ϧʔϧ͔ΒධՁ͞ΕΔ
    ༏ઌॱҐ
     ༏ઌॱҐ
     ༏ઌॱҐ

    

31. ධՁॱংͷྫ 

32. ධՁॱংͷྫ 

33. ධՁॱংͷྫ 

34. ධՁॱংͷྫ 

35. ϧʔϧͷऴྃΞΫγϣϯ  w ֤ϧʔϧɾϧʔϧάϧʔϓͷΞΫγϣϯΛ࣮ߦͨ͠ࡍʹɺ ͦͷޙͷϧʔϧͷධՁΛܧଓ͢Δ͔
    w ऴྃΞΫγϣϯʢUFSNJOBUJOH
    BDUJPOʣ
    ‎ ΞΫγϣϯ࣮ߦޙɺͦͷޙͷධՁ͸ߦΘͳ͍
    w

    ඇऴྃΞΫγϣϯʢOPOUFSNJOBUJOH
    BDUJPOʣ
    ‎ ΞΫγϣϯ࣮ߦޙɺϧʔϧͷධՁΛܧଓ͢Δ

36. ֤ϧʔϧΞΫγϣϯͱऴྃΞΫγϣϯ  w ऴྃΞΫγϣϯʢUFSNJOBUJOH
    BDUJPOʣ
    w "MMPXʢڐՄʣ
    w #MPDL
    w $"15$)"ɿτʔΫϯ͕ແޮͷ৔߹
    

    w ඇऴྃΞΫγϣϯʢOPOUFSNJOBUJOH
    BDUJPOʣ
    w $PVOU
    w $"15$)"ɿτʔΫϯ͕༗ޮͷ৔߹

37. 8FC"$-ͷධՁͷྫ  w ͲͷΑ͏ͳධՁ͕ߦΘΕΔͷ͔ɺྫΛ͍͔ͭ͘ڍ͛ͯ Έ·͢

38. ධՁͷྫᶃ  w ඇऴྃΞΫγϣϯͰ͸ධՁ͸ऴྃͤͣɺܧଓ͢Δ

39. ධՁͷྫᶄ  w ༏ઌॱҐ͕খ͍͞ϧʔϧͰऴྃΞΫγϣϯ͕࣮ߦ͞Ε Δͱɺଓ͘༏ઌॱҐͷେ͖͍ϧʔϧ͸ධՁ͞Εͳ͍

40. ධՁͷྫᶅ  w ͢΂ͯͷϧʔϧ͕ධՁ͞Εͯ΋ɺऴྃΞΫγϣϯ͕࣮ ߦ͞Εͳ͔ͬͨ৔߹͸σϑΥϧτΞΫγϣϯ͕࣮ߦ͞ ΕΔ

41.  ·ͱΊ

42. ·ͱΊ  w "84
    8"'͸8FC"$-ʹఆٛ͞ΕͨϧʔϧʹΑͬͯ ϦΫΤετΛධՁ͢Δ
    w ϧʔϧͷ༏ઌॱҐ΍ऴྃΞΫγϣϯΛҙࣝͯ͠ධՁͷ ࢓૊ΈΛཧղ͢Δ

43. ຊ೔ͷΰʔϧ  w "84
    8"'ͷجຊతͳϦιʔεΛཧղ͢Δ
    w "84
    8"'͕ϦΫΤετΛͲͷΑ͏ʹධՁ͢Δ͔Λ ΠϝʔδͰ͖ΔΑ͏ʹͳΔ

44. ࢀߟࢿྉ  w "84
    8"'σϕϩούʔΨΠυ

45. None