teratail
回答率
85.30%
質問するログイン新規登録
トップセキュリティーに関する質問
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

1回答

351閲覧

WAFがBLOCKした不審なアクセスが、後ろのWEBサーバに到達した、正当性を教えてください

sugoidaizu
sugoidaizu

総合スコア7

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

0クリップ

投稿2025/08/18 01:41

編集2025/08/19 02:34

0

0

現象

■ WAF
サーバのWAF(SiteGuard)に、不審なアクセスがBLOCKされた記録が残りました。
・動作:BLOCK
・URL:http://~.~.~/pms?module=logging&file_name=../../../../../../~/.aws/credentials&number_of_lines=10000

■ WEBサーバ
WEBサーバのログにも、同じ日時分秒、同様のアクセス記録が残りました。
・Error 403 GET /pms?module=logging&file_name=../../../../../../~/.aws/credentials&number_of_lines=10000 HTTP/1.0

■ サーバ会社
サーバ会社のテクニカルサポートに質問し、回答を得ました。
(Q)このアクセスは、WAFにBLOCKされたのか?すり抜けたのか?解説をお願いします。
(A)

ブロックはしておりますが、サーバーには到達する仕様でございます。
上記につきましては、メーカーへも確認した上でのご案内でございます。
そのため、大変恐縮ではございますが、これ以上の回答は難しいこと、
何とぞご理解の程よろしくお願いいたします。

■ WAFメーカー
メーカーへ直接質問する経路は見つかりませんでした。
https://www.eg-secure.co.jp/siteguard/inquiry

テクニカルサポートに関するお問い合わせは、
ご契約時にご案内いたしましたサポート窓口宛にご連絡ください。

質問

WAFがブロックしてる不審なアクセスは、その後ろに隠れているWEBサーバに到達しないと、当方は考えていました。しかし、このアクセスがWEBサーバに到達しており、仕様とのことです。当方の理解の範囲では、辻褄が合いません。

どなたか、この動作(仕様)の正当性を解説していただけると、大変ありがたいです。
よろしくお願いします。

追記

当方の情報提供不足だった点を補足します。(2025/08/19 11:33)

(1)
WAFのLOGを「../../」で検索すると、大量に表示されますが、
WEBサーバのLOGを「../../」で検索すると、質問に書いた1行だけが表示され、
他の行は表示されないという状況でした。

(WAFでBLOCKされたURLの例)
http://~.~.~/basilix.php3?request_id[DUMMY]=../../../../etc/passwd&RequestID=DUMMY&username=sec&password=secu
http://~.~.~/index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc
http://~.~.~/index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc/&view=passwd
http://~.~.~/cgi-bin/pfdisplay.cgi?../../../../../../etc/passwd
http://~.~.~/cgi-bin/pfdispaly.cgi?../../../../../../../../../../etc/passwd
http://~.~.~/jsp/jspsamp/jspexamples/viewsource.jsp?source=/../../../../../../../../../boot.ini
http://~.~.~/jsp/jspsamp/jspexamples/viewsource.jsp?source=/../../../../../../../../../etc/passwd
http://~.~.~/bytehoard/index.php?infolder=../../../../../../../../../../../etc/
http://~.~.~/OpenFile.aspx?file=../../../../../../../../../../boot.ini
http://~.~.~/boilerplate.asp?NFuse_Template=../../boot.ini&NFuse_CurrentFolder=/SSLx0020Directories|-|0|404_Object_Not_Found

(2)
サーバ会社に「外部→WAF→WEBサーバ」という構成かと質問して、肯定されていました。


しかし、こちらのQ&Aにて、次の認識を得ました。
「SiteGuard Server Editionは、Webサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品」

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

melian
melian

2025/08/18 14:11

そちらにインストールされているSiteGuardは、おそらくSiteGuard Server Editionでホスト型のWAFかと思われます。 ホスト型WAF(SiteGuard Server Edition) | WebセキュリティのEGセキュアソリューションズ https://www.eg-secure.co.jp/siteguard/product/siteguard-server-edition > SiteGuard Server Editionは、Webサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品です。 Webサーバのモジュールとして動作するので、HTTP/HTTPSリクエストの受付はWebサーバが行うことになります。なので、 > ブロックはしておりますが、サーバーには到達する仕様でございます。 は、Web サーバに到達するHTTP/HTTPSリクエストをWeb サーバのモジュールとして動作しているSiteGuardで検査を行って、設定されているルールに従ってブロックするかどうか判断する手順を意味しているものと思います。 なお、Webサーバの手前で不審なアクセスをブロックするのは以下のクラウド型WAFかと思います。 クラウド型WAF(SiteGuard Cloud Edition)| WebセキュリティのEGセキュアソリューションズ https://www.eg-secure.co.jp/siteguard/siteguard-cloud-edition ウェブサーバ
quickquip
quickquip

2025/08/19 01:44 編集

> WAFがブロックしてる不審なアクセスは、その後ろに隠れているWEBサーバに到達しないと、当方は考えていました。 ここについて、どうしてそう考えたのか? に関する根拠が書いてあるとよいように思いました。マニュアルのここにこういう記述があってそれを素直に読んだらこういう判断になるでしょう、なのか、特に何もなくそう思った、なのかで回答できる人の何を書くか? の判断がだいぶ違う気がします また、この話は質問としては「中の人がリークしてくれる」という絶対に起こらないケース以外の正解が想定できないので、意見交換の方が相応しいと思いました(想像できることはあるのですけれど大変回答しづらいなあ、という印象です)
sugoidaizu
sugoidaizu

2025/08/19 02:37

melian様 お知恵とコメント、ありがとうございます。 ご指摘の通り、「ホスト型WAF」です。 「ホスト型WAF」でもWAFとWEBサーバは明確に分かれているイメージを持っていましたが、 >SiteGuard Server Editionは、Webサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品です。 とのことですので、状況によっては、WEBサーバのログに残ることもあるのかも知れないと、想像を巡らせることができました。ありがとうございました。
sugoidaizu
sugoidaizu

2025/08/19 02:38

quickquip様 お知恵とコメント、ありがとうございます。 >どうしてそう考えたのか? に関する根拠が書いてあるとよいように思いました。 承知しました。「追記」を書かせていただきました。
guest

回答1

0

ベストアンサー

WAFに詳しいわけではなく、公式サイトを読んだだけの理解です。

https://www.eg-secure.co.jp/siteguard/product/siteguard-server-edition
https://www.eg-secure.co.jp/siteguard/product/siteguard-server-edition/howto
https://www.eg-secure.co.jp/siteguard/product/siteguard-server-edition/howto/install

ご使用中のEditionによって違うかもしれませんが、上記を読む限り、blockした場合はWebサーバーが403を返すのが正しい動作のようです。

構成によっては、Webサーバーのモジュールではなく、proxyとして立てられるようにも読めます。
その場合は、Webサーバーではなくproxyが403を返すのでしょうか。

個人的には、設定に引っかかったアクセスに対して期待通り403を返しているのだから、それでよいと納得しますが、どうでしょうか?

投稿2025/08/18 13:14

hiroki-o
hiroki-o

総合スコア1517

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

sugoidaizu
sugoidaizu

2025/08/19 02:40

hiroki-o様 ご回答、ありがとうございます。 「ホスト型WAF」でもWAFとWEBサーバは明確に分かれているイメージを持っていましたが、 >SiteGuard Server Editionは、Webサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品です。 と書かれていることを知りました。 状況によっては、WEBサーバのログに残ることもあるのかも知れないと、想像を巡らせることができました。 ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.30%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップセキュリティーに関する質問

WAFがBLOCKした不審なアクセスが、後ろのWEBサーバに到達した、正当性を教えてください