Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Search
Satoshi Kaneyasu
September 16, 2023
Technology
0
360
脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf
Satoshi Kaneyasu
September 16, 2023
Tweet
Share
More Decks by Satoshi Kaneyasu
See All by Satoshi Kaneyasu
【5分LT】フロントエンドとバックエンドを繋ぐ認証サービス Amazon Cognito
satoshi256kbyte
2
20
AWS認定資格を受験するにあたり、気づいたこと・実践していたことのまとめ
satoshi256kbyte
1
120
Amazon Neptuneで始める初めてのグラフDB ー グラフDBを使う意味を考える ー
satoshi256kbyte
2
300
おもにクラウドの話してます#3 OPスライド
satoshi256kbyte
1
26
AWS CodeCommitの次として考えた場合のAmazon CodeCatalyst
satoshi256kbyte
1
580
アプリケーションエンジニアがDistributed Load Testingで 負荷テストをしてみる〜Ver.B〜
satoshi256kbyte
2
58
アプリケーションエンジニアがDistributed Load Testingで負荷テストをしてみる〜Ver.A〜
satoshi256kbyte
2
100
AWS App Studio (Preview)は何分でアプリを作れるのか
satoshi256kbyte
0
260
AWS CodeGuruでPythonのコードを自動レビューしてもらおう
satoshi256kbyte
1
150
Other Decks in Technology
See All in Technology
CVE alive
ennael
PRO
0
310
virtme-ng
ennael
PRO
0
250
20240927競プロとともにあるく_ソフトウェアテストの地図.pdf
prettyhappycatty
0
170
ITエンジニアとして知っておいてほしい、電子メールという大きな穴
logica0419
1
250
エムスリーマネジメントチーム紹介資料 / Introduction of M3 Management Team
m3_engineering
0
230
Interfacing Kernel C APIs from Rust
ennael
PRO
0
180
【shownet.conf_】トポロジ図の歩き方
shownet
PRO
0
330
All your memory are belong to… whom?
ennael
PRO
0
360
SQLによるオブザーバビリティの進化とClickHouseの実力
mikimatsumoto
0
150
OPENLOGI Company Profile for engineer
hr01
1
12k
Strong Skipping Mode によってrecompositionはどう変わったのか
mikanichinose
0
110
Oracle GoldenGate 23ai 導入Tips
oracle4engineer
PRO
0
170
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
129
8.8k
The Invisible Side of Design
smashingmag
296
50k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
109
6.9k
The Power of CSS Pseudo Elements
geoffreycrofte
71
5.3k
Code Reviewing Like a Champion
maltzj
518
39k
Being A Developer After 40
akosma
84
590k
RailsConf 2023
tenderlove
28
830
Gamification - CAS2011
davidbonilla
79
5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
25
640
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
26
1.9k
How to train your dragon (web standard)
notwaldorf
87
5.6k
Debugging Ruby Performance
tmm1
72
12k
Transcript
脆弱なアプリケーション(DVWA)で AWS WAFの動きを確かめてみた Satoshi Kaneyasu 2023.09.16
2 ⾃⼰紹介 ⽒名︓兼安 聡 所属︓株式会社サーバーワークス(ʼ23/05〜) バックエンドエンジニア →クラウドエンジニア 趣味︓サックス、筋トレ、CS ゲーム ごくたまに登⼭
資格︓ X(Twitter)︓@satoshi256kbyte など やまおとこが しょうぶをしかけてきた︕
3 本⽇のアジェンダ • AWS WAFが本当に脆弱性をブロックできるのか︖を確認 • 確認作業の過程で触った、OWASP ZAPを使⽤した感想
4 確認のための構成 • AWS WAFは、ルールに基づきアプリを保護するサービス • AWS上に脆弱性のあるアプリをデプロイ • AWS WAFのルールをON/OFFしながら操作して挙動を確認
5 使⽤ツールの説明 • DVWA • Damn Vulnerable Web Application •
古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ • https://github.com/digininja/DVWA • OWASP ZAP • OWASPが開発している脆弱性診断ツール • ⼿動と⾃動(コマンド実⾏)の両⽅のセキュリティテストをサポート • https://www.zaproxy.org/
まずは⼿動でAWS WAFの動きを確認してみる
7 SQLインジェクションを確認 DVWAの画⾯で、SQLを⼊⼒ SQLインジェクションが通ってしまう ことを確認
8 AWS WAFをONにしてSQLインジェクションを再確認 AWS WAFで、 マネージドルールONにすると、 SQLインジェクションをブロックする 画⾯全体が403になる DVWAの画⾯ではない
9 実際に動かしてみてようやくAWS WAFを実感 • ブロックされる=サーバーには何も来ないことを実感 • 誤設定した場合の怖さを⼀気に感じる インフラチーム アプリチーム アプリログが出ていないので
途⽅に暮れる 不審なものは ブロック
ツールを使ってAWS WAFの動きを確認してみる
11 OWASP ZAPを使った脆弱性診断 • Baseline Scan • 数分で完了し、負荷も低い、データの更新もしない • CI/CDパイプラインに組み込むのに適している
• Full Scan • 深く診断する • XSS、SQLインジェクションなども診断する • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証
12 DVWAにFull Scanをかけてみる
13 AWS WAFをONして再度Full Scan ちゃんと減ってる︕
14 OWASP ZAPを使った所感 • Baseline Scan • AWS CodePipelineに⼊れて、CI/CDに組み込めそう •
通信内容のみで判断しており、これだけでは不安 • Full Scan • 深く診断するが、⻑時間かかる、終了時間の予測が難しい • 実⾏のために数⽇間のスケジュール確保が必要 • データを実際に更新しまうので、専⽤の環境が必要
15 まとめ • プロジェクトマネージャーとして気づきがあった • AWS WAFは、有能だが怖い部分もある • OWASP ZAPの2種類のスキャンは⼀⻑⼀短
• 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい
16 知識でしかなかったことを、 感覚で実感できた有益な検証でした。 以上です。 ありがとうございました。
None