M2M
機械と機械で会話をするよ
投稿日:
ウェブアプリに特化したファイアウォールだよ
Web ウェブ
Application アプリ
Firewall ファイアウォール
その名の通り、ウェブアプリ特化型のファイアウォールだよ。
Application アプリ
Firewall ファイアウォール
その名の通り、ウェブアプリ特化型のファイアウォールだよ。
こんなイメージ
ファイアウォールやIDS/IPSはIPアドレスやポート番号(通信)を監視
いかがわしい通信でなければ?
と、どちらも通す。
しかし、通信ではなく、HTTPに攻撃コードを仕込んでいた犯人の侵入を許す。
一般ユーザーは、そのコードのページを見ることに…
一般ユーザーがクレジットカード番号を入力したとして、もしそのページが犯人のページだとしたら?
カード番号を盗まれ、悪用し放題。
WAFは、そこらへんを防ぐために、ウェブアプリの中身を調べる。
攻撃の種類
SQLインジェクション
データベースの接続部分を攻撃する。
改ざんや情報入手が目的。
クロスサイトスプリプティング(XSS)
ユーザー画面に攻撃した人のコードを実行して表示する。
クレジットカードの入力画面を表示して番号をゲット、接続自体を乗っとるなど、様々。
クロスサイトリクエストフォージェリ(CSRF)
罠のページを用意して、攻撃者が狙っている実行をさせる。
SNSでの誹謗中傷の書き込み、通販での買い物など
ウェブアプリのセキュリティセット
