AWS-AWSManagedRulesLinuxRuleSet
Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者がアクセスすべきでないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐのに役立ちます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。
LinuxOSの重要なファイルを指定するとWAFで予め弾いてくれる
- クラスメソッドさんのサイトでは、
/etc/passwdでやってた。ここらへんのあたりのファイルが対象のもよう
|
1 |
curl <span class="nt">-i</span> https://dev.vamdemic.jp/proc/version |
動作確認
/proc/varsionを指定すると、ALBから403で弾かれる
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
yuta:~ $ curl -i https://dev.vamdemic.jp/proc/version HTTP/1.1 403 Forbidden Server: awselb/2.0 Date: Sun, 08 Nov 2020 01:21:37 GMT Content-Type: text/html Content-Length: 118 Connection: keep-alive <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> </body> </html> yuta:~ $ |
/proc/varsioだと、ALBはぬけてその先のEC2内のApacheが返している
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
yuta:~ $ curl -i https://dev.vamdemic.jp/proc/versio HTTP/1.1 404 Not Found Date: Sun, 08 Nov 2020 01:21:39 GMT Content-Type: text/html; charset=iso-8859-1 Content-Length: 196 Connection: keep-alive Server: Apache/2.4.46 () OpenSSL/1.0.2k-fips PHP/7.2.34 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL was not found on this server.</p> </body></html> |
WAFコンソールでも検知している
参考
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html
https://dev.classmethod.jp/articles/generate_test_log_with_waf_rules/