Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Search
Satoshi Kaneyasu
September 16, 2023
Technology
0
320
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Satoshi Kaneyasu
September 16, 2023
Tweet
Share
More Decks by Satoshi Kaneyasu
See All by Satoshi Kaneyasu
アプリケーションエンジニアがDistributed Load Testingで 負荷テストをしてみる〜Ver.B〜
satoshi256kbyte
2
42
アプリケーションエンジニアがDistributed Load Testingで負荷テストをしてみる〜Ver.A〜
satoshi256kbyte
2
79
AWS App Studio (Preview)は何分でアプリを作れるのか
satoshi256kbyte
0
180
AWS CodeGuruでPythonのコードを自動レビューしてもらおう
satoshi256kbyte
1
120
Gitでコンフリクトが起きたらコミットしよう
satoshi256kbyte
1
45
ワクワク状態を維持するレトロスペクティブ
satoshi256kbyte
1
98
プログラムのスタート地点はどこなのか?
satoshi256kbyte
1
65
DB調査をしやすくするためのログ設計
satoshi256kbyte
5
540
Amazon Aurora Serverless v2が意外と高かった話と、AWS Database Migration Serviceの話
satoshi256kbyte
1
290
Other Decks in Technology
See All in Technology
Matterport を使ってクラスメソッド各拠点のバーチャルオフィスツアーを作成してみた
wakatsuki
0
160
「単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる」のか検証してみた
terara
0
380
シフトレフトで挑む セキュリティの生産性向上
sekido
PRO
0
270
データ分析を支える技術 生成AI再入門
ishikawa_satoru
0
380
20240724_cm_odyssey_hibiyatech
hiashisan
0
110
Classmethod Odyssey 登壇資料
yamahiro
0
390
CTOから見た事業開発とプロダクト開発 / My Perspective on Business and Product Development as CTO
keisuke69
4
960
Amazon FSx for NetApp ONTAPのパフォーマンスチューニング要素をまとめてみた #cm_odyssey #devio2024
non97
0
220
LLMアプリケーションの評価の実践と課題 ~PharmaXにおける今後の展望~
pharma_x_tech
2
160
Git 研修 Basic【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
310
フルリモートワークはエンジニアの夢を叶えたか? #cm_odyssey
mamohacy
2
600
公共領域から学ぶ クラウド移行についてエンジニアが意識していること
kawakawa2222
0
140
Featured
See All Featured
Being A Developer After 40
akosma
72
580k
Designing with Data
zakiwarfel
96
5k
Building Applications with DynamoDB
mza
89
5.8k
Thoughts on Productivity
jonyablonski
64
4.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
12
3.8k
Designing on Purpose - Digital PM Summit 2013
jponch
113
6.6k
Docker and Python
trallard
37
2.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
26
1.8k
Leading Effective Engineering Teams 2024
addyosmani
3
300
RailsConf 2023
tenderlove
16
720
Principles of Awesome APIs and How to Build Them.
keavy
124
16k
Design by the Numbers
sachag
277
18k
Transcript
脆弱なアプリケーション(DVWA)で AWS WAFの動きを確かめてみた Satoshi Kaneyasu 2023.09.16
2 ⾃⼰紹介 ⽒名︓兼安 聡 所属︓株式会社サーバーワークス(ʼ23/05〜) バックエンドエンジニア →クラウドエンジニア 趣味︓サックス、筋トレ、CS ゲーム ごくたまに登⼭
資格︓ X(Twitter)︓@satoshi256kbyte など やまおとこが しょうぶをしかけてきた︕
3 本⽇のアジェンダ • AWS WAFが本当に脆弱性をブロックできるのか︖を確認 • 確認作業の過程で触った、OWASP ZAPを使⽤した感想
4 確認のための構成 • AWS WAFは、ルールに基づきアプリを保護するサービス • AWS上に脆弱性のあるアプリをデプロイ • AWS WAFのルールをON/OFFしながら操作して挙動を確認
5 使⽤ツールの説明 • DVWA • Damn Vulnerable Web Application •
古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ • https://github.com/digininja/DVWA • OWASP ZAP • OWASPが開発している脆弱性診断ツール • ⼿動と⾃動(コマンド実⾏)の両⽅のセキュリティテストをサポート • https://www.zaproxy.org/
まずは⼿動でAWS WAFの動きを確認してみる
7 SQLインジェクションを確認 DVWAの画⾯で、SQLを⼊⼒ SQLインジェクションが通ってしまう ことを確認
8 AWS WAFをONにしてSQLインジェクションを再確認 AWS WAFで、 マネージドルールONにすると、 SQLインジェクションをブロックする 画⾯全体が403になる DVWAの画⾯ではない
9 実際に動かしてみてようやくAWS WAFを実感 • ブロックされる=サーバーには何も来ないことを実感 • 誤設定した場合の怖さを⼀気に感じる インフラチーム アプリチーム アプリログが出ていないので
途⽅に暮れる 不審なものは ブロック
ツールを使ってAWS WAFの動きを確認してみる
11 OWASP ZAPを使った脆弱性診断 • Baseline Scan • 数分で完了し、負荷も低い、データの更新もしない • CI/CDパイプラインに組み込むのに適している
• Full Scan • 深く診断する • XSS、SQLインジェクションなども診断する • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証
12 DVWAにFull Scanをかけてみる
13 AWS WAFをONして再度Full Scan ちゃんと減ってる︕
14 OWASP ZAPを使った所感 • Baseline Scan • AWS CodePipelineに⼊れて、CI/CDに組み込めそう •
通信内容のみで判断しており、これだけでは不安 • Full Scan • 深く診断するが、⻑時間かかる、終了時間の予測が難しい • 実⾏のために数⽇間のスケジュール確保が必要 • データを実際に更新しまうので、専⽤の環境が必要
15 まとめ • プロジェクトマネージャーとして気づきがあった • AWS WAFは、有能だが怖い部分もある • OWASP ZAPの2種類のスキャンは⼀⻑⼀短
• 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい
16 知識でしかなかったことを、 感覚で実感できた有益な検証でした。 以上です。 ありがとうございました。
None