iss seminar 2010709#1-upload

WAFによる「やられWebアプリケーション」の保護デモンストレーション

～ WAF 製品の WebGoat 保護のデモ～

井上達一　

( 株 )インテカーセキュアソリューションズ NSFOCUS 担当

| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 2

アジェンダ

• やられ Web アプリケーションとは何か？

• OWASP top 10 (2010 年度版 )• デモ環境• WebGoat の導入

• WebGoat へのログイン

• SQL インジェクション攻撃の具体例

• WSF 製品特徴

• 構成方法• その他


やれれ Web アプリケーションとは何か？

• “あえて”脆弱性を保有している Web アプリ

• テストや評価のベースラインとして使用されている

• Webgoat OWASP• Hacme シリーズ Foundstone( 現 McAfee)• Moth bonsai

⇒今回は NSSLabs の Web Application Firewall Testing Procedure (V1.0) でも用いられているWebgoat にてデモ参考 URL: http://nsslabs.com/certification/waf/nss-waf-v10-testproc.pdf


OWASP Top 10 ( 旧版と 2010 年度版比較 )

http://www.owasp.org/index.php/Top_10

http://www.owasp.org/index.php/Top_10


デモ環境

vmnet2: 10.10.20.198

Switch

LAN: 10.10.20.199

MGR: 192.168.0.1

WAN:

Switch

10.10.20.170

vmnet2: 10.10.20.198

LocalArea2: 192.168.1.199

• 透過 (Transparent) 構成


Webgoat の入手

• OWASP のサイトから webgoat 本体をダウンロード http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Google code のWebGoat-OWASP_Standard-5.3_RC1.7z をダウンロード

http://webgoat.googlecode.com/files/WebGoat-OWASP_Standard-5.3_RC1.7z


Webgoat のインストール、起動

# sudo su• 7zip,Java JDK 1.6 のインストール

# apt-get install p7zip# apt-get openjdk-6-jdk

• Webgoat の展開、起動# cd /users/root-works/works# 7z x ../pub/WebGoat-OWASP_Standard-5.3_RC1.7z# cd WebGoat-5.3_RC1# vi tomcat/conf/server_80.xml# sh webgoat.sh start80


Webgoat ログイン①guest/guest にて Basic 認証

②Start WebGoat ボタンをクリック

③レッスン TUTORIAL の表示


SQL インジェクション成功例 (WAF オフ )①Injection Flaws をクリック

②String SQL Injection をクリック

③‘or ’1‘=’1を入力

④SQL インジェクション成功


SQL インジェクション成功例 (WAF オン )①Restart this lesson をクリック ③‘or ’1‘=’1を入力

④SQL インジェクション失敗②SQL injection ルールを Activate


WAF セキュリティポリシー設定①Web Security⇒Policy Configuration⇒WebSecurity ③保護対象の指定 (Domain/WebSite/Site Group)

④ルール定義②Action: Forward/Block/Accept の選択


NSFOCUS WAF 主要機能

多様な Web セキュリティ機能

HTTPS/SSL インスペクション

セキュリティ機能

Web アプリケーションスキャンプラットフォームセキュリティ

Web アプリケーションセキュリティWeb コンテンツフィルターリング

Web ページ改ざん防止ネットワークレイヤ防御

DDoS 攻撃防御セキュリティ機能管理ツール

セキュリティポリシー設定セキュリティルール管理

豊富なログとレポート機能

レポート管理・作成検索や集計の各条件に応じたログをレポートとして出力することが可能。レポートは定期的に作成することが可能。

ログ管理ブラウザから分かり易い操作でログを検索することが可能。

便利なシステム管理機能

システム管理ツールシステム稼働情報多国語対応（中国語・英語）

シグネチャーアップデードシステムメンテナンスツール

自己診断機能

All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 13


NSFOCUS WAF の主な特長

• 連携した 3段階のセキュリティ防御機能• HTTP/HTTPS双方向でのトラフィッククリーニング• Webページ改ざん防止（※国際特許出願中）• アプリケーション層のDDoS攻撃防御• SSLのカプセル化、SSLオフロードの機能搭載• 冗長化構成



【特長】連携した 3 段階のセキュリティ防御機能


•OWASP脅威への対応「 SQL インジェクション」「 XSS 」「 CSRF 」など•プラットフォームセキュリティへの対応「バッファーオーバーフロー」「ワーム」など•TCP/HTTP Flood 防御•ネットワークセキュリティへの対応「 ARP スプーフィング」「 L4 ACL 」など•Web コンテンツフィルターリング「悪意のあるコード」「キーワード」の濾過

•既存や新規の Web サービスのアプリケーションに「 SQL インジェクション」「 XSS 」などの脆弱性を存在するかをスキャン

•スキャンした結果に従って、より一層有効的なセキュリティポリシーやルールを設定することが可能


【特長】 HTTP/HTTPS双方向でのトラフィッククリーニング


オンライン防御エンジン

コンテンツフィルターリングモジュール

Web サーバファーム

Web サービス利用者

クリーニングされたトラフィック

混雑するトラフィック


【特長】 Web ページ改ざん防止

• 独自開発した技術でWebページ改ざんを検知可能• 万が一Webページが改ざんされても、ページロールバック機能を搭載する

ことによって、改ざんされる前のWebページを自動的にロールバックしてWeb閲覧者が正常的なWebページを閲覧可能することを保証

• Web改ざん検知技術は、国際特許出願中（ PCT/CN2009/000780）• Webキャッシュ技術は、中国において特許出願中（ 200910083751.3）



構成方法

①透過 (トランスペアレント )方式　⇒　本日のデモ構成

②VLAN Trunk(802.1q) 方式 ③ルーティング方式


その他

• シグネチャ150　内部シグネチャ105 追加（選択可能）シグネチャ

月に1回の定期更新、緊急シグネチャ

• 誤検知 (False-Positive)は 10%以下攻撃パターンにより、ばらつき有り