目次
WAF設定について
WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。
不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。
サーバーパネルの設定画面より、対策が必要な項目を設定することが可能です。
- WAF設定の追加・変更後、反映まで最大1時間程度かかる場合があります。
設定前に必ず読んでください
WAF設定では、有害な可能性のあるアクセスを検知する機能を提供しますが、設定により不正アクセスを100%駆除することを保証するものではありません。
あくまでWebアプリケーションの持つ脆弱性に対する不正アクセスへの最低限の予防策となります。
脆弱性に対する不正アクセスへの根本的対応として、随時最新バージョンのアプリケーションの利用やセキュリティ対応が必ず必要となりため、確認の上利用してください。
検知時の動作について
検知された場合には、アクセスが拒否されエラーページが表示されます。
各設定項目について
以下の項目への対策が設定可能です。
- XSS (クロスサイトスクリプティング)
- SQL (SQLインジェクション)
- ファイル (ファイル不正アクセス)
- メール (メールの不正送信)
- PHP (PHP関数の脆弱性)
| XSS (クロスサイトスクリプティング) | |
|---|---|
| 対策内容 | javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。 |
| 不正アクセス例 | クッキーの値を不正に取得、設定しセッションハイジャックを行うCSRF(クロスサイトリクエストフォージェリ)の踏み台とするURL等を偽装し利用者をフィッシングサイトへ誘導する。 |
| ターゲット | 掲示板ブログシステム他、第三者が入力した情報を表示するアプリケーション全般。 |
| SQL (SQLインジェクション) | |
|---|---|
| 対策内容 | SQL構文に該当する文字列が挿入されたアクセスについて検知します。 |
| 不正アクセス例 | SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行するデータベース情報の漏洩を試みるデータベースの情報の書き換えや破壊を試みる。 |
| ターゲット | データベース登録を行う会員制サイトデータベースを利用したアプリケーション全般※利用者の入力した内容からSQL文を生成するアプリケーションが不正アクセスの対象となります。 |
| ファイル (ファイル不正アクセス) | |
|---|---|
| 対策内容 | .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
| 不正アクセス例 | パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行うサーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる。 |
| ターゲット | 画像アップロード機能付き掲示板ファイル操作が行われるアプリケーション。 |
| メール (メールの不正送信) | |
|---|---|
| 対策内容 | to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
| 不正アクセス例 | メールが送信されるフォームを利用した第三者への大量メール送信が行われる。 |
| ターゲット | メールを送信する機能を備えたアプリケーション。 |
| コマンド (コマンドアクセス/実行) | |
|---|---|
| 対策内容 | kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 |
| 不正アクセス例 | コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させるサーバーに関する重要な情報の盗み見や、踏み台として利用する |
| ターゲット | PHPやPerl等で作成されコマンド実行を利用するアプリケーション |
| PHP (PHP関数の脆弱性) | |
|---|---|
| 対策内容 | session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。 |
| 不正アクセス例 | セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り不正ファイルのアップロードを踏み台にサーバーの乗っ取り。 |
| ターゲット | PHPを用いたアプリケーション全般。 |
エックスサーバー公式マニュアル:WAF設定
