Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Search
Satoshi Kaneyasu
September 16, 2023
Technology
0
480
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Satoshi Kaneyasu
September 16, 2023
Tweet
Share
More Decks by Satoshi Kaneyasu
See All by Satoshi Kaneyasu
密集、ドキュメントのコロケーション with AWS Lambda
satoshi256kbyte
1
200
【PHP】破壊的バージョンアップと戦った話〜決断と説得
satoshi256kbyte
0
140
今更聞けないセキュリティ用語の基礎知識 2025新春
satoshi256kbyte
0
110
AWS re:Invent 2024個人的まとめ
satoshi256kbyte
0
200
今年一番支援させていただいたのは認証系サービスでした
satoshi256kbyte
1
300
おもにクラウドの話してます#4 OPスライド
satoshi256kbyte
0
61
AWS認定資格を勉強した先に何があったか
satoshi256kbyte
2
270
Amazon Aurora Serverless v2のアプデと、Amazon Aurora PostgreSQL Limitless DatabaseのGAについて
satoshi256kbyte
0
180
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
480
Other Decks in Technology
See All in Technology
生成 AI プロダクトを育てる技術 〜データ品質向上による継続的な価値創出の実践〜
icoxfog417
PRO
5
1.8k
急成長する企業で作った、エンジニアが輝ける制度/ 20250214 Rinto Ikenoue
shift_evolve
3
1.9k
深層学習と古典的画像アルゴリズムを組み合わせた類似画像検索内製化
shutotakahashi
1
260
現場で役立つAPIデザイン
nagix
35
13k
レビューを増やしつつ 高評価維持するテクニック
tsuzuki817
1
830
The Future of SEO: The Impact of AI on Search
badams
0
240
ホワイトボードチャレンジ 説明&実行資料
ichimichi
0
130
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介 / 20250219-BizDay17-OIDC4IDA-Intro
oidfj
0
370
Windows の新しい管理者保護モード
murachiakira
0
170
プロダクトエンジニア 360°フィードバックを実施した話
hacomono
PRO
0
120
2/18/25: Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
0
150
Active Directory攻防
cryptopeg
PRO
7
4.4k
Featured
See All Featured
Practical Orchestrator
shlominoach
186
10k
Raft: Consensus for Rubyists
vanstee
137
6.8k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Building Your Own Lightsaber
phodgson
104
6.2k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Six Lessons from altMBA
skipperchong
27
3.6k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.4k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Fireside Chat
paigeccino
34
3.2k
Transcript
脆弱なアプリケーション(DVWA)で AWS WAFの動きを確かめてみた Satoshi Kaneyasu 2023.09.16
2 ⾃⼰紹介 ⽒名︓兼安 聡 所属︓株式会社サーバーワークス(ʼ23/05〜) バックエンドエンジニア →クラウドエンジニア 趣味︓サックス、筋トレ、CS ゲーム ごくたまに登⼭
資格︓ X(Twitter)︓@satoshi256kbyte など やまおとこが しょうぶをしかけてきた︕
3 本⽇のアジェンダ • AWS WAFが本当に脆弱性をブロックできるのか︖を確認 • 確認作業の過程で触った、OWASP ZAPを使⽤した感想
4 確認のための構成 • AWS WAFは、ルールに基づきアプリを保護するサービス • AWS上に脆弱性のあるアプリをデプロイ • AWS WAFのルールをON/OFFしながら操作して挙動を確認
5 使⽤ツールの説明 • DVWA • Damn Vulnerable Web Application •
古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ • https://github.com/digininja/DVWA • OWASP ZAP • OWASPが開発している脆弱性診断ツール • ⼿動と⾃動(コマンド実⾏)の両⽅のセキュリティテストをサポート • https://www.zaproxy.org/
まずは⼿動でAWS WAFの動きを確認してみる
7 SQLインジェクションを確認 DVWAの画⾯で、SQLを⼊⼒ SQLインジェクションが通ってしまう ことを確認
8 AWS WAFをONにしてSQLインジェクションを再確認 AWS WAFで、 マネージドルールONにすると、 SQLインジェクションをブロックする 画⾯全体が403になる DVWAの画⾯ではない
9 実際に動かしてみてようやくAWS WAFを実感 • ブロックされる=サーバーには何も来ないことを実感 • 誤設定した場合の怖さを⼀気に感じる インフラチーム アプリチーム アプリログが出ていないので
途⽅に暮れる 不審なものは ブロック
ツールを使ってAWS WAFの動きを確認してみる
11 OWASP ZAPを使った脆弱性診断 • Baseline Scan • 数分で完了し、負荷も低い、データの更新もしない • CI/CDパイプラインに組み込むのに適している
• Full Scan • 深く診断する • XSS、SQLインジェクションなども診断する • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証
12 DVWAにFull Scanをかけてみる
13 AWS WAFをONして再度Full Scan ちゃんと減ってる︕
14 OWASP ZAPを使った所感 • Baseline Scan • AWS CodePipelineに⼊れて、CI/CDに組み込めそう •
通信内容のみで判断しており、これだけでは不安 • Full Scan • 深く診断するが、⻑時間かかる、終了時間の予測が難しい • 実⾏のために数⽇間のスケジュール確保が必要 • データを実際に更新しまうので、専⽤の環境が必要
15 まとめ • プロジェクトマネージャーとして気づきがあった • AWS WAFは、有能だが怖い部分もある • OWASP ZAPの2種類のスキャンは⼀⻑⼀短
• 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい
16 知識でしかなかったことを、 感覚で実感できた有益な検証でした。 以上です。 ありがとうございました。
None