Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf

 脆弱なアプリケーション_DVWA_でAWS_WAFの動きを確かめてみた.pdf

Satoshi Kaneyasu

September 16, 2023
Tweet

More Decks by Satoshi Kaneyasu

Other Decks in Technology

Transcript

  1. 脆弱なアプリケーション(DVWA)で
    AWS WAFの動きを確かめてみた
    Satoshi Kaneyasu
    2023.09.16

    View full-size slide

  2. 2
    ⾃⼰紹介
    ⽒名︓兼安 聡
    所属︓株式会社サーバーワークス(ʼ23/05〜)
    バックエンドエンジニア
    →クラウドエンジニア
    趣味︓サックス、筋トレ、CS ゲーム
    ごくたまに登⼭
    資格︓
    X(Twitter)︓@satoshi256kbyte
    など
    やまおとこが
    しょうぶをしかけてきた︕

    View full-size slide

  3. 3
    本⽇のアジェンダ
    • AWS WAFが本当に脆弱性をブロックできるのか︖を確認
    • 確認作業の過程で触った、OWASP ZAPを使⽤した感想

    View full-size slide

  4. 4
    確認のための構成
    • AWS WAFは、ルールに基づきアプリを保護するサービス
    • AWS上に脆弱性のあるアプリをデプロイ
    • AWS WAFのルールをON/OFFしながら操作して挙動を確認

    View full-size slide

  5. 5
    使⽤ツールの説明
    • DVWA
    • Damn Vulnerable Web Application
    • 古くからあるセキュリティ教育などのために設計されたOSSのWEBアプリ
    • https://github.com/digininja/DVWA
    • OWASP ZAP
    • OWASPが開発している脆弱性診断ツール
    • ⼿動と⾃動(コマンド実⾏)の両⽅のセキュリティテストをサポート
    • https://www.zaproxy.org/

    View full-size slide

  6. まずは⼿動でAWS WAFの動きを確認してみる

    View full-size slide

  7. 7
    SQLインジェクションを確認
    DVWAの画⾯で、SQLを⼊⼒
    SQLインジェクションが通ってしまう
    ことを確認

    View full-size slide

  8. 8
    AWS WAFをONにしてSQLインジェクションを再確認
    AWS WAFで、
    マネージドルールONにすると、
    SQLインジェクションをブロックする
    画⾯全体が403になる
    DVWAの画⾯ではない

    View full-size slide

  9. 9
    実際に動かしてみてようやくAWS WAFを実感
    • ブロックされる=サーバーには何も来ないことを実感
    • 誤設定した場合の怖さを⼀気に感じる
    インフラチーム アプリチーム
    アプリログが出ていないので
    途⽅に暮れる
    不審なものは
    ブロック

    View full-size slide

  10. ツールを使ってAWS WAFの動きを確認してみる

    View full-size slide

  11. 11
    OWASP ZAPを使った脆弱性診断
    • Baseline Scan
    • 数分で完了し、負荷も低い、データの更新もしない
    • CI/CDパイプラインに組み込むのに適している
    • Full Scan
    • 深く診断する
    • XSS、SQLインジェクションなども診断する
    • 深い脆弱性をブロックするか︖を⾒たいので、こちらで検証

    View full-size slide

  12. 12
    DVWAにFull Scanをかけてみる

    View full-size slide

  13. 13
    AWS WAFをONして再度Full Scan
    ちゃんと減ってる︕

    View full-size slide

  14. 14
    OWASP ZAPを使った所感
    • Baseline Scan
    • AWS CodePipelineに⼊れて、CI/CDに組み込めそう
    • 通信内容のみで判断しており、これだけでは不安
    • Full Scan
    • 深く診断するが、⻑時間かかる、終了時間の予測が難しい
    • 実⾏のために数⽇間のスケジュール確保が必要
    • データを実際に更新しまうので、専⽤の環境が必要

    View full-size slide

  15. 15
    まとめ
    • プロジェクトマネージャーとして気づきがあった
    • AWS WAFは、有能だが怖い部分もある
    • OWASP ZAPの2種類のスキャンは⼀⻑⼀短
    • 各ツールの癖と所要時間を、運⽤設計・PJ計画に活かしたい

    View full-size slide

  16. 16
    知識でしかなかったことを、
    感覚で実感できた有益な検証でした。
    以上です。
    ありがとうございました。

    View full-size slide