BIG-IP ASMで対応するOWASP Top 10 - 2017年版

この投稿は、F5ネットワークスのシニア・ソリューション・デベロッパーであるPeter Silva のブログ投稿「The OWASP Top 10 - 2017 vs. BIG-IP ASM 」を元に、日本向けに再構成したものです。

OWASP Top 10の2017年正式版がリリースされましたので、BIG-IP ASMのWAF機能でどのくらい対応できるか概要を紹介したいと思います。

まず最初に、2013年版と2017年版の比較です。いくつかの新規項目の追加と、既存項目の統合が行われています。

では、BIG-IP ASMの対応状況を見ていきましょう。

 

Vulnerability

BIG-IP ASM Controls

A1

Injection Flaws

インジェクション

Attack signatures

Meta character restrictions

Parameter value length restrictions

A2

Broken Authentication and Session Management

認証とセッション管理の不備

Brute Force protection

Credentials Stuffing protection

Login Enforcement

Session tracking

HTTP cookie tampering protection

Session hijacking protection

A3

Sensitive Data Exposure

機密データの露出

Data Guard

Attack signatures (“Predictable Resource Location” and “Information Leakage”)

A4

XML External Entities (XXE)

XML外部実体参照(XXE)

Attack signatures (“Other Application Attacks” - XXE)

XML content profile (Disallow DTD)

(Subset of API protection)

A5

Broken Access Control

アクセス制御の不備

File types

Allowed/disallowed URLs

Login Enforcement

Session tracking

Attack signatures (“Directory traversal”)

A6

Security Misconfiguration

セキュリティ設定のミス   

Attack Signatures

DAST integration

Allowed Methods

HTML5 Cross-Domain Request Enforcement

A7

Cross-site Scripting (XSS)

クロスサイトスクリプティング(XSS)

Attack signatures (“Cross Site Scripting (XSS)”)

Parameter meta characters

HttpOnly cookie attribute enforcement

Parameter type definitions (such as integer)

A8

Insecure Deserialization

安全でないデシリアライゼーション

Attack Signatures (“Server Side Code Injection”)

A9

Using components with known vulnerabilities

既知の脆弱性を持つコンポーネントの使用

Attack Signatures

DAST integration

A10

Insufficient Logging and Monitoring

不十分なロギングおよび監視

Request/response logging

Attack alarm/block logging

On-device logging and external logging to SIEM system

Event Correlation

 

新規に追加された「A4: XML外部実体参照(XXE)」の項目についても、すでにシグネチャで対応しています。
    200018018           External entity injection attempt
    200018030           XML External Entity (XXE) injection attempt (Content)

また、XXE攻撃は、XMLプロファイルによって汎用的な防御も可能です。
(DTDsを無効にして、"Malformed XML data"バイオレーションを有効にします)

 

また「A8:安全でないデシリアライゼーション」の対応策として、こちらも多くのシグネチャがすでに提供されています。
これらシグネチャの多くは、下記のように“serialization” や“serialized object” といった名前が含まれています。
    200004188           PHP object serialization injection attempt (Parameter)
    200003425           Java Base64 serialized object - java/lang/Runtime (Parameter)
    200004282           Node.js Serialized Object Remote Code Execution (Parameter)


以上、OWASP Top10 2017年版のリリースにともなう、BIG-IP ASMのWAF機能の対応状況のご紹介でした。

関連リンク:

What’s New In The OWASP Top 10 And How TO Use It

BIG-IP ASM Operations Guide

 

Published Dec 12, 2017
Version 1.0
ASM Advanced WAF
f5 japan
japan
owasp
security
vulnerabilities
waf
No CommentsBe the first to comment