Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Search
Satoshi Kaneyasu
September 16, 2023
Technology
0
610
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Satoshi Kaneyasu
September 16, 2023
Tweet
Share
More Decks by Satoshi Kaneyasu
See All by Satoshi Kaneyasu
AWS Summit Japan 2024と2025の比較
satoshi256kbyte
0
11
はじめてのKiro、今あなたは岐路に立つ
satoshi256kbyte
1
44
AWS Summit Japan 2024と2025の比較/はじめてのKiro、今あなたは岐路に立つ
satoshi256kbyte
1
250
フルリモートで社内にどうやって自分の居場所を作るのか?
satoshi256kbyte
12
18k
プロジェクトマネージャーがGitHub Copilotのエージェンモードを使い始めました
satoshi256kbyte
1
180
そもそもAWS Configの設定変えられたらどうするの?Amazon EventBridgeでマネコンの操作を監視する
satoshi256kbyte
1
130
変化の激しい時代における、こだわりのないエンジニアの強さ
satoshi256kbyte
1
1.7k
密集、ドキュメントのコロケーション with AWS Lambda
satoshi256kbyte
1
280
【PHP】破壊的バージョンアップと戦った話〜決断と説得
satoshi256kbyte
0
290
Other Decks in Technology
See All in Technology
ユーザー理解の爆速化とPdMの価値
kakehashi
PRO
1
110
東京海上日動におけるセキュアな開発プロセスの取り組み
miyabit
0
200
Vision Language Modelと自動運転AIの最前線_20250730
yuyamaguchi
1
600
M365アカウント侵害時の初動対応
lhazy
7
5.1k
Shadow DOMとセキュリティ - 光と影の境界を探る / Shibuya.XSS techtalk #13
masatokinugawa
0
310
スプリントレビューを効果的にするために
miholovesq
9
1.7k
自分がLinc’wellで提供しているプロダクトを理解するためにやったこと
murabayashi
1
170
LLM開発を支えるエヌビディアの生成AIエコシステム
acceleratedmu3n
0
330
MCPと認可まわりの話 / mcp_and_authorization
convto
2
290
生成AIによる情報システムへのインパクト
taka_aki
1
200
Amazon CloudWatchのメトリクスインターバルについて / Metrics interval matters
ymotongpoo
3
280
メモ整理が苦手な者による頑張らないObsidian活用術
optim
0
150
Featured
See All Featured
The Invisible Side of Design
smashingmag
301
51k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
110
19k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
A Modern Web Designer's Workflow
chriscoyier
695
190k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
Designing for Performance
lara
610
69k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
How to Think Like a Performance Engineer
csswizardry
25
1.8k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
760
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Transcript
脆弱なアプリケーション(DVWA)で AWS WAFの動きを確かめてみた Satoshi Kaneyasu 2023.09.16
2 ⾃⼰紹介 ⽒名︓兼安 聡 所属︓株式会社サーバーワークス(ʼ23/05〜) バックエンドエンジニア →クラウドエンジニア 趣味︓サックス、筋トレ、CS ゲーム ごくたまに登⼭
資格︓ X(Twitter)︓@satoshi256kbyte など やまおとこが しょうぶをしかけてきた︕
3 本⽇のアジェンダ • AWS WAFが本当に脆弱性をブロックできるのか︖を確認 • 確認作業の過程で触った、OWASP ZAPを使⽤した感想
4 確認のための構成 • AWS WAFは、ルールに基づきアプリを保護するサービス • AWS上に脆弱性のあるアプリをデプロイ • AWS WAFのルールをON/OFFしながら操作して挙動を確認
5 使⽤ツールの説明 • DVWA • Damn Vulnerable Web Application •
古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ • https://github.com/digininja/DVWA • OWASP ZAP • OWASPが開発している脆弱性診断ツール • ⼿動と⾃動(コマンド実⾏)の両⽅のセキュリティテストをサポート • https://www.zaproxy.org/
まずは⼿動でAWS WAFの動きを確認してみる
7 SQLインジェクションを確認 DVWAの画⾯で、SQLを⼊⼒ SQLインジェクションが通ってしまう ことを確認
8 AWS WAFをONにしてSQLインジェクションを再確認 AWS WAFで、 マネージドルールONにすると、 SQLインジェクションをブロックする 画⾯全体が403になる DVWAの画⾯ではない
9 実際に動かしてみてようやくAWS WAFを実感 • ブロックされる=サーバーには何も来ないことを実感 • 誤設定した場合の怖さを⼀気に感じる インフラチーム アプリチーム アプリログが出ていないので
途⽅に暮れる 不審なものは ブロック
ツールを使ってAWS WAFの動きを確認してみる
11 OWASP ZAPを使った脆弱性診断 • Baseline Scan • 数分で完了し、負荷も低い、データの更新もしない • CI/CDパイプラインに組み込むのに適している
• Full Scan • 深く診断する • XSS、SQLインジェクションなども診断する • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証
12 DVWAにFull Scanをかけてみる
13 AWS WAFをONして再度Full Scan ちゃんと減ってる︕
14 OWASP ZAPを使った所感 • Baseline Scan • AWS CodePipelineに⼊れて、CI/CDに組み込めそう •
通信内容のみで判断しており、これだけでは不安 • Full Scan • 深く診断するが、⻑時間かかる、終了時間の予測が難しい • 実⾏のために数⽇間のスケジュール確保が必要 • データを実際に更新しまうので、専⽤の環境が必要
15 まとめ • プロジェクトマネージャーとして気づきがあった • AWS WAFは、有能だが怖い部分もある • OWASP ZAPの2種類のスキャンは⼀⻑⼀短
• 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい
16 知識でしかなかったことを、 感覚で実感できた有益な検証でした。 以上です。 ありがとうございました。
None