WAF(Webアプリケーションファイアウォール)
スポンサードリンク
WAFは、WEBアプリケーションの脆弱性を突いた攻撃を検知・排除する製品をいいます。
ファイアウォールでは、ヘッダ部分しか見ないため、ペイロードに埋め込まれた攻撃を検知・排除できないのです。そこでWAFによって、クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクション、セッションハイジャックなどの脅威からシステムを守る必要があります。
WAFに備わっている機能について以下に示す。
サニタイジング
スクリプト実行に必要な特殊文字を無害な文字列に変換する手法をサニタイジングといいます。クロスサイトスクリプティング、SQLインジェクションなどに有効な手段です。
パス名・パラメータチェック
HTTPリクエストのパス名パラメータを検査することで、不正なアクセスを防止する。ディレクトリトラバーサルやパラメータ改ざんなどに有効な手段です。
応答内容チェック
クレジットカード番号や個人情報など外部に漏らしてはならない情報がないかチェックする。URLリライトや禁止ワードなどに有効な手段です。
|
|
|
|