脆弱なアプリケーション(DVWA)で AWS WAFの動きを確かめてみた Satoshi Kaneyasu 2023.09.16

2 ⾃⼰紹介 ⽒名︓兼安 聡 所属︓株式会社サーバーワークス(ʼ23/05〜) バックエンドエンジニア →クラウドエンジニア 趣味︓サックス、筋トレ、CS ゲーム ごくたまに登⼭ 資格︓ X(Twitter)︓@satoshi256kbyte など やまおとこが しょうぶをしかけてきた︕

3 本⽇のアジェンダ • AWS WAFが本当に脆弱性をブロックできるのか︖を確認 • 確認作業の過程で触った、OWASP ZAPを使⽤した感想

4 確認のための構成 • AWS WAFは、ルールに基づきアプリを保護するサービス • AWS上に脆弱性のあるアプリをデプロイ • AWS WAFのルールをON/OFFしながら操作して挙動を確認

5 使⽤ツールの説明 • DVWA • Damn Vulnerable Web Application • 古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ • https://github.com/digininja/DVWA • OWASP ZAP • OWASPが開発している脆弱性診断ツール • ⼿動と⾃動（コマンド実⾏）の両⽅のセキュリティテストをサポート • https://www.zaproxy.org/

まずは⼿動でAWS WAFの動きを確認してみる

7 SQLインジェクションを確認 DVWAの画⾯で、SQLを⼊⼒ SQLインジェクションが通ってしまう ことを確認

8 AWS WAFをONにしてSQLインジェクションを再確認 AWS WAFで、 マネージドルールONにすると、 SQLインジェクションをブロックする 画⾯全体が403になる DVWAの画⾯ではない

9 実際に動かしてみてようやくAWS WAFを実感 • ブロックされる＝サーバーには何も来ないことを実感 • 誤設定した場合の怖さを⼀気に感じる インフラチーム アプリチーム アプリログが出ていないので 途⽅に暮れる 不審なものは ブロック

ツールを使ってAWS WAFの動きを確認してみる

11 OWASP ZAPを使った脆弱性診断 • Baseline Scan • 数分で完了し、負荷も低い、データの更新もしない • CI/CDパイプラインに組み込むのに適している • Full Scan • 深く診断する • XSS、SQLインジェクションなども診断する • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証

12 DVWAにFull Scanをかけてみる

13 AWS WAFをONして再度Full Scan ちゃんと減ってる︕

14 OWASP ZAPを使った所感 • Baseline Scan • AWS CodePipelineに⼊れて、CI/CDに組み込めそう • 通信内容のみで判断しており、これだけでは不安 • Full Scan • 深く診断するが、⻑時間かかる、終了時間の予測が難しい • 実⾏のために数⽇間のスケジュール確保が必要 • データを実際に更新しまうので、専⽤の環境が必要

15 まとめ • プロジェクトマネージャーとして気づきがあった • AWS WAFは、有能だが怖い部分もある • OWASP ZAPの２種類のスキャンは⼀⻑⼀短 • 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい

16 知識でしかなかったことを、 感覚で実感できた有益な検証でした。 以上です。 ありがとうございました。

No content