株式会社ヴァンデミックシステム

Blog

【AWS AWSWAF】AWSWAFでAWS-AWSManagedRulesLinuxRuleSetをセットしたときの動作確認方法

Posted by:
morita

<スポンサーリンク>

AWS-AWSManagedRulesLinuxRuleSet

Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者がアクセスすべきでないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐのに役立ちます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。

 

LinuxOSの重要なファイルを指定するとWAFで予め弾いてくれる

  • クラスメソッドさんのサイトでは、/etc/passwdでやってた。ここらへんのあたりのファイルが対象のもよう

 

curl -i https://dev.vamdemic.jp/proc/version

 

動作確認

/proc/varsionを指定すると、ALBから403で弾かれる

yuta:~ $ curl -i https://dev.vamdemic.jp/proc/version
HTTP/1.1 403 Forbidden
Server: awselb/2.0
Date: Sun, 08 Nov 2020 01:21:37 GMT
Content-Type: text/html
Content-Length: 118
Connection: keep-alive

<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
</body>
</html>
yuta:~ $

 

/proc/varsioだと、ALBはぬけてその先のEC2内のApacheが返している

yuta:~ $ curl -i https://dev.vamdemic.jp/proc/versio
HTTP/1.1 404 Not Found
Date: Sun, 08 Nov 2020 01:21:39 GMT
Content-Type: text/html; charset=iso-8859-1
Content-Length: 196
Connection: keep-alive
Server: Apache/2.4.46 () OpenSSL/1.0.2k-fips PHP/7.2.34

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>

 

WAFコンソールでも検知している

 

参考

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html

https://dev.classmethod.jp/articles/generate_test_log_with_waf_rules/

 

 

 

<スポンサーリンク>

コメントを残す

Allowed tags:  you may use these HTML tags and attributes: <a href="">, <strong>, <em>, <h1>, <h2>, <h3>
Please note:  all comments go through moderation.
CAPTCHA

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)