WAFのハッキング報告

WAF(Webアプリケーション・ファイアウォール)のハッキングについて、セキュリティ専門会議OWASP Europe 2009で報告されたという記事。
Researchers Hack Web Application Firewalls – DarkReading
2種類のツールが紹介され、WafW00fがWAFの存在を検知して場合によってそのブランドも特定、WafFunが穴を見つけて迂回する。

シグネチャだけを使い、他の機能、たとえば正規化やエンコーディング/デコーディングを持っていない製品は、真のWAFではない
「問題なのは、多くのWAF製品がほんとに悪い設計上の欠陥を抱えており、進入できてしまうということ。」
Web通信にホワイトリストを使うのがより強力な方式だが、大規模Webサイトでは実用的でない場合もある。
「一般的に、ネガティブの(ブラックリストの)方式を使うことが多く、そうするとWAFは攻撃に対して無力になってしまう。」

だいたいブラックリストしか使わないならWAFの意味が無いでしょ。

コメントを残す

メールアドレスが公開されることはありません。