SQL インジェクション、クロスサイトスクリプティング (XSS)、コード実行、キャリッジリターンラインフィード (CRLF) インジェクション、リモートファイルインクルージョン (RFI)、Webシェルなどの侵入攻撃はリスクが高いですが、通常、カスタムルールとレート制限ルールを使用して検出することは困難です。 この問題に対処するために、Edge Security Acceleration (ESA) は、OWASP 攻撃と最新のオリジン脆弱性から防御するための組み込みのインテリジェントなマネージドルールを提供します。 手動での構成や更新なしで、さまざまな種類の攻撃に対する保護を有効にすることができます。
マネージドルールを有効にする
ESA で Webサイトを保護するために、マネージドルールセットを有効にすることができます。
ESA コンソールで、[Webサイト] を選択し、管理する Webサイトの名前をクリックします。
Webサイトの詳細ページの左側のナビゲーションウィンドウで、[セキュリティ] > [WAF] を選択します。 WAF ページで、[マネージドルール] タブをクリックします。
[マネージドルール] タブの [推奨されるルールセット] セクションで、[有効化] をクリックして、マネージドルールセットを有効にし、Webサイトを侵入攻撃や脆弱性から保護します。
マネージドルールを編集する
[推奨ルールセット] を有効にした後、次の手順を実行してマネージドルールセットを編集できます。
マネージドルールを削除する
次の手順を実行して、マネージドルールセットを削除できます。
ESA コンソールで、[Webサイト] を選択し、管理する Webサイトの名前をクリックします。
Webサイトの詳細ページの左側のナビゲーションウィンドウで、[セキュリティ] > [WAF] を選択します。 WAF ページで、[マネージドルール] タブをクリックします。 [マネージドルール] タブで、[操作] 列の [削除] をクリックします。
可用性
Entrance プランは 27 個のデフォルトの基本保護ルールのみをサポートし、XSS、SQL インジェクション、クロスサイトリクエストフォージェリ、RFI、プロトコル非準拠、Webシェル攻撃、パストラバーサル、デシリアライゼーション、式インジェクションなどのルールはサポートしていません。
Item | Entrance | Pro | Premium | Enterprise |
マネージドルール | 基本ルールをサポートする | すべてのルールをサポートする | すべてのルールをサポートする | すべてのルールをサポートする |
すべてのルール
基本的な保護ルール
基本的な保護ルールは、Log4j の脆弱性に対する攻撃など、いくつかのゼロデイ脆弱性と一般的な攻撃から防御し、最も基本的な保護機能を提供します。
SQL インジェクション
SQL インジェクションとは、悪意のある SQL コードが入力フィールドに挿入され、実行される攻撃です。 この攻撃は、アプリケーションの入力検証の欠陥を悪用し、データ侵害やデータベース内のデータの不正な削除または変更につながる可能性があります。
XSS
XSS は、攻撃者が悪意のあるスクリプトを Web ページに挿入し、ブラウザにそれらを実行させることによって発生します。 通常、Cookie などのユーザー情報の盗難や悪意のあるコードの挿入を目的としています。 XSS 攻撃は、反射型 XSS、保存型 XSS、DOM XSS に分類されます。
コード実行
リモートコード実行 (RCE) 攻撃により、攻撃者はターゲットシステムでコードを実行できます。 通常、脆弱性の悪用、悪意のあるファイルのアップロード、またはコードインジェクションを介して行われます。 RCE 攻撃は深刻な脅威です。
CRLF
CRLF インジェクションは、攻撃者がキャリッジリターンとラインフィード文字を挿入して HTTP 応答ヘッダーを操作するときに発生します。 攻撃者はこの脆弱性を利用して、XSS または HTTP 応答分割を実行できます。
ローカルファイルインクルージョン
ローカルファイルインクルージョン (LFI) 攻撃では、攻撃者はアプリケーションの脆弱性を悪用して、悪意のあるパスを提供することにより、サーバー上のローカルファイルをインクルードします。 LFI 攻撃は機密情報を公開する可能性があり、深刻な場合にはリモートコード実行につながる可能性があります。
RFI
RFI 攻撃により、攻撃者は外部 URL を提供することにより、アプリケーションにリモートの悪意のあるファイルをインクルードできます。 LFI と同様に、RFI 攻撃は悪意のあるコードの実行につながる可能性があります。
Webシェル
Webシェルは、通常、攻撃者が侵害されたサーバーにアップロードする Web ベースのツールです。 これにより、攻撃者はコマンドの実行やファイルの管理など、Web インターフェイスを介してサーバーをリモートで制御できます。
OS コマンドインジェクション
オペレーティングシステム (OS) コマンドインジェクションは、悪意のある OS コマンドをプログラムに埋め込み、サーバーにこれらのコマンドを実行させます。
式インジェクション
式インジェクション攻撃は、悪意のある式を埋め込み、不正なコード実行を引き起こします。
Java デシリアライゼーション
Java デシリアライゼーション攻撃は、悪意のあるオブジェクトをデシリアライズすることにより、不正なコード実行を引き起こします。
PHP デシリアライゼーション
PHP デシリアライゼーション攻撃は、悪意のあるオブジェクトをデシリアライズすることにより、不正なコード実行を引き起こします。
SSRF
Server-Side Request Forgery (SSRF) により、攻撃者はサーバー側の HTTP リクエストを意図しない宛先に誘導できます。
パストラバーサル
パストラバーサル攻撃は、攻撃者が相対パス (../ など) を挿入することにより、意図した範囲外のファイルやディレクトリにアクセスできる場合に発生します。
任意のファイルアップロード
任意のファイルアップロード攻撃は、悪意のあるファイルをアップロードし、サーバーにファイルを実行させます。
.NET デシリアライゼーション
デシリアライゼーションとは、JSON、XML、バイナリなどの形式のデータをオブジェクトに戻す変換プロセスです。 .NET アプリケーションでは、安全でないデシリアライゼーションにより、任意のコードが実行される可能性があります。 攻撃者がデシリアライズされたデータの制御を取得した場合、悪意のあるデータを挿入して任意のコードを実行できる可能性があります。
スキャン動作
スキャン動作とは、Web アプリケーションスキャナーの動作と特徴を指します。 これらのツールは、Web アプリケーションの潜在的なセキュリティ脆弱性を自動的にスキャンします。 SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な脆弱性を見つけ、大量のリクエストを生成して送信することにより、アプリケーションの応答を分析します。
ビジネスロジックの脆弱性
ビジネスロジックの欠陥は、アプリケーションのワークフローの不適切な実装または設計から生じる脆弱性です。 これらの脆弱性は、入力検証と出力エンコーディングでは軽減されません。 代わりに、攻撃者はアプリケーションの通常のワークフローを操作することにより、不正アクセスを取得したり、その他の悪意のある活動に従事したりできます。
任意のファイル読み取り
任意のファイル読み取りにより、通常は HTTP リクエストのファイルパスパラメーターを介して、任意のユーザーがシステム上の任意のファイルを読み取ることができます。 この脆弱性により、攻撃者は構成ファイル、資格情報、個人データなどの機密情報にアクセスできる可能性があります。
任意のファイルダウンロード
任意のファイル読み取りと同様に、任意のファイルダウンロードにより、任意のユーザーがシステム上の任意のファイルをダウンロードできます。 この脆弱性により、機密情報が漏洩したり、攻撃者がオフライン分析のためにシステムの完全バックアップを取得したりする可能性があります。
XXE インジェクション
XML 外部エンティティ (XXE) の脆弱性は、外部エンティティを処理する際の XML パーサーの動作を悪用します。 攻撃者はこれを使用してシステムファイルを読み取ったり、サーバー側のリクエストフォージェリ (SSRF) を実行したり、サービス拒否 (DoS) を引き起こしたりできます。 この攻撃は通常、悪意のある外部エンティティを含む XML 入力によって実装されます。
その他のルール
バックグラウンドシステムに対するその他の脆弱性と攻撃。