Upgrade to Pro — share decks privately, control downloads, hide ads and more …

我々はAWS WAFを研究している

我々はAWS WAFを研究している

我々はAWS WAFを研究している

Secure Sky Technology

August 28, 2018
Tweet

More Decks by Secure Sky Technology

Other Decks in Technology

Transcript

  1. Secure Sky Technology Inc. 2 自己紹介 宇田川 稔 所属 株式会社

    セキュアスカイ・テクノロジー 事業開発部 兼 研究開発部 仕事内容 WAF環境の設計、構築、運用 WAF研究担当 好きなAWSサービス AWS WAF AWS Lambda AWS Systems Manager 趣味 マラソン、サッカー観戦
  2. Secure Sky Technology Inc. 3 会社概要 Webアプリケーションセキュリティに特化した企業です。 設立 2006年3月15日 社員数

    40名(非常勤を除く) 資本金 5,400万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 代表取締役 大木 元 ※業界の著名な方に支えられています。 歌代 和正 SST 監査役(非常勤) JPCERT/CC 専務理事 三輪 信雄 SST 顧問(非常勤) S&J株式会社 代表取締役社長 総務省最高情報 セキュリティアドバイザー 元株式会社ラック 代表取締役社長 脆弱性をつくらない 教育事業 脆弱性を見つける 脆弱性診断 脆弱性を無害化する クラウド型WAF 「Scutum」
  3. Secure Sky Technology Inc. 7  Query string , Single

    query parameter (value only) , All query parameters (values only)の違いってなに?  検査対象のデータと変換はどう組み合わせればいいの? 検査対象のデータを選択 Header / HTTP method / URI / Body / Query string / Single query parameter (value only) / All query parameters (values only) 対象データを検査する時に変換するかどうか。 None / Convert to lowercase / HTML decode / Normalize whitespace / Simplify command line / URL decode Webセキュリティ専門家でも迷う設定
  4. Secure Sky Technology Inc. 8 AWSも対策方法を提供  OWASP Top 10対応のルール

    CloudFormation で簡単設定!  AWS WAF セキュリティオートメーション こちらもCloudFormationで簡単設定!
  5. Secure Sky Technology Inc. 10 検知状況の調査内容 AWS が提供しているOWASP TOP 10内のSQLインジェクション対策のル

    ールについて、弊社が持っている攻撃データを用いて、どこまで検知するか 調査しました。 ▪ 攻撃データ ◦ テストケース数は約700 ◦ 一般的なSQLインジェクションを突くテストケースと共に 各DB特有の脆弱性を突くテストケースも使用 ▪ 調査環境概要 攻撃用マシン ALB + AWS WAF WEBサーバー OWASP Top 10 SQLインジェクション ルール
  6. Secure Sky Technology Inc. 11 検証結果 generic MySQL oracle SQL

    Server その他 0 50 100 150 200 250 300 350 400 450 OWASPTOP10SQLi_rule
  7. Secure Sky Technology Inc. 12 攻撃用マシン ALB + AWS WAF

    WEBサーバー 追加検証 検知率を上げたいので、 OWASP Top 10 SQLインジェクション ルールに 某サードパーティのマネージドルールを追加して、同様の検証をしてみた。 ▪ 調査環境概要 OWASP Top 10 SQLインジェクション ルール + 某サードパーティのマネージドルール
  8. Secure Sky Technology Inc. 13 検証結果 generic generic MySQL MySQL

    oracle oracle SQL Server SQL Server その他 その他 0 100 200 300 400 500 600 OWASPTOP10SQLi_rule OWASPTOP10SQLi_rule+ThirdPartyRule
  9. Secure Sky Technology Inc. 16 ~公開予定~ 1. AWS が提供しているOWASP TOP

    10内のSQLインジェクション対策の ルールの検知状況の調査 2. AWS が提供しているOWASP TOP 10内のXSS対策のルールの検知状況 の調査 3. 脆弱性毎の対応ルール a. OSコマンドインジェクション b. パストラバーサル c. 特定ミドルウェア/フレームワーク等を狙った攻撃 (Struts2、Tomcat、PHP、WordPressなど) d. その他、緊急度の高い脆弱性が出た場合、AWS WAFへの検知設定方法 4. ルールの誤検知とその対策 5. WEB構成に合わせたAWS WAF設定ベストプラクティス