WAF(ワフ)・・Web Application Firewall
ウフみたいでかわいい。
アプリケーションレベルのFirewallです。悪意のあるユーザが、Webサイトを参照してWebサイト上の脆弱性から守る機能です。
主に
| 脆弱性 | 概要 | 対策 |
|---|---|---|
| SQLインジェクション | データベース問い合わせ時に、意図しないSQL文が発行されてしまうこと。 | データベースを操作するライブラリが提供しているバインド機能を使えばよい。 |
| クロスサイトスクリプティング(XSS) | 変数、GET、POSTパラメータに攻撃者のスクリプトなどが埋め込まれてしまうこと。 | HTMLエスケープすればよい。 |
| ディレクトリトラバーサル | ドットドットスラッシュ攻撃。ファイルリクエスト時に、意図しないファイルパスが埋め込まれてしまうこと。 | ファイルリクエストさせない。 ファイルリクエストの場合、正規化をおこなう |
| HTTPヘッダインジェクション | HTTPはヘッダとボディを空行で識別している。攻撃者が、なんらかの方法で空行を埋め込み、意図しないボディを生成されてしまうこと。 | ヘッダを生成する必要がある場合、ライブラリが提供している機能を使用する。直接ヘッダを生成しなければならない場合は、エスケープする。 |
などから、守ってくれます。
Webサイト上の脆弱性なので、プログラマーがイケてないだけ・・。プログラマーにとっては、ワフはありがたい存在です。
コメント