ワフ(WAF)、ウフ

WAF(ワフ)・・Web Application Firewall

ウフみたいでかわいい。

アプリケーションレベルのFirewallです。悪意のあるユーザが、Webサイトを参照してWebサイト上の脆弱性から守る機能です。

主に

脆弱性概要対策
SQLインジェクションデータベース問い合わせ時に、意図しないSQL文が発行されてしまうこと。データベースを操作するライブラリが提供しているバインド機能を使えばよい。
クロスサイトスクリプティング(XSS)変数、GET、POSTパラメータに攻撃者のスクリプトなどが埋め込まれてしまうこと。HTMLエスケープすればよい。
ディレクトリトラバーサルドットドットスラッシュ攻撃。ファイルリクエスト時に、意図しないファイルパスが埋め込まれてしまうこと。ファイルリクエストさせない。
ファイルリクエストの場合、正規化をおこなう
HTTPヘッダインジェクションHTTPはヘッダとボディを空行で識別している。攻撃者が、なんらかの方法で空行を埋め込み、意図しないボディを生成されてしまうこと。ヘッダを生成する必要がある場合、ライブラリが提供している機能を使用する。直接ヘッダを生成しなければならない場合は、エスケープする。

などから、守ってくれます。

Webサイト上の脆弱性なので、プログラマーがイケてないだけ・・。プログラマーにとっては、ワフはありがたい存在です。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください