WAF設定

WAF設定について

WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。

不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。

サーバーパネルの設定画面より、対策が必要な項目を設定することが可能です。

各設定項目について

以下の項目への対策が設定可能です。

XSS (クロスサイトスクリプティング)
対策内容 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
不正アクセス例
  • クッキーの値を不正に取得、設定しセッションハイジャックを行う
  • CSRF(クロスサイトリクエストフォージェリ)の踏み台とする
  • URL等を偽装し利用者をフィッシングサイトへ誘導する
ターゲット
  • 掲示板
  • ブログシステム
  • 他、第三者が入力した情報を表示するアプリケーション全般
SQL (SQLインジェクション)
対策内容 SQL構文に該当する文字列が挿入されたアクセスについて検知します。
不正アクセス例
  • SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
  • データベース情報の漏洩を試みる
  • データベースの情報の書き換えや破壊を試みる
ターゲット
  • データベース登録を行う会員制サイト
  • データベースを利用したアプリケーション全般

※利用者の入力した内容からSQL文を生成するアプリケーションが不正アクセスの対象となります。

ファイル (ファイル不正アクセス)
対策内容 .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
不正アクセス例
  • パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う
  • ーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
ターゲット
  • 画像アップロード機能付き掲示板
  • ファイル操作が行われるアプリケーション
メール (メールの不正送信)
対策内容 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
不正アクセス例

メールが送信されるフォームを利用した第三者への大量メール送信が行われる

ターゲット

メールを送信する機能を備えたアプリケーション

コマンド (コマンドアクセス/実行)
対策内容 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
不正アクセス例
  • コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させる
  • サーバーに関する重要な情報の盗み見や、踏み台として利用する
ターゲット

PHPやPerl等で作成されコマンド実行を利用するアプリケーション

PHP (PHP関数の脆弱性)
対策内容 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
不正アクセス例
  • セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り
  • 不正ファイルのアップロードを踏み台にサーバーの乗っ取り
ターゲット

PHPを用いたアプリケーション全般