質問編集履歴
3
補足追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -29,4 +29,31 @@
|
|
|
29
29
|
WAFがブロックしてる不審なアクセスは、その後ろに隠れているWEBサーバに到達しないと、当方は考えていました。しかし、このアクセスがWEBサーバに到達しており、仕様とのことです。当方の理解の範囲では、辻褄が合いません。
|
|
30
30
|
|
|
31
31
|
どなたか、この動作(仕様)の正当性を解説していただけると、大変ありがたいです。
|
|
32
|
-
よろしくお願いします。
|
|
32
|
+
よろしくお願いします。
|
|
33
|
+
|
|
34
|
+
### 追記
|
|
35
|
+
当方の情報提供不足だった点を補足します。(2025/08/19 11:33)
|
|
36
|
+
|
|
37
|
+
(1)
|
|
38
|
+
WAFのLOGを「../../」で検索すると、大量に表示されますが、
|
|
39
|
+
WEBサーバのLOGを「../../」で検索すると、質問に書いた1行だけが表示され、
|
|
40
|
+
他の行は表示されないという状況でした。
|
|
41
|
+
|
|
42
|
+
(WAFでBLOCKされたURLの例)
|
|
43
|
+
http://~.~.~/basilix.php3?request_id[DUMMY]=../../../../etc/passwd&RequestID=DUMMY&username=sec&password=secu
|
|
44
|
+
http://~.~.~/index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc
|
|
45
|
+
http://~.~.~/index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc/&view=passwd
|
|
46
|
+
http://~.~.~/cgi-bin/pfdisplay.cgi?../../../../../../etc/passwd
|
|
47
|
+
http://~.~.~/cgi-bin/pfdispaly.cgi?../../../../../../../../../../etc/passwd
|
|
48
|
+
http://~.~.~/jsp/jspsamp/jspexamples/viewsource.jsp?source=/../../../../../../../../../boot.ini
|
|
49
|
+
http://~.~.~/jsp/jspsamp/jspexamples/viewsource.jsp?source=/../../../../../../../../../etc/passwd
|
|
50
|
+
http://~.~.~/bytehoard/index.php?infolder=../../../../../../../../../../../etc/
|
|
51
|
+
http://~.~.~/OpenFile.aspx?file=../../../../../../../../../../boot.ini
|
|
52
|
+
http://~.~.~/boilerplate.asp?NFuse_Template=../../boot.ini&NFuse_CurrentFolder=/SSLx0020Directories|-|0|404_Object_Not_Found
|
|
53
|
+
|
|
54
|
+
(2)
|
|
55
|
+
サーバ会社に「外部→WAF→WEBサーバ」という構成かと質問して、肯定されていました。
|
|
56
|
+
|
|
57
|
+
※
|
|
58
|
+
しかし、こちらのQ&Aにて、次の認識を得ました。
|
|
59
|
+
「SiteGuard Server Editionは、Webサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品」
|
2
***→~
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
■ WAF
|
|
4
4
|
サーバのWAF(SiteGuard)に、不審なアクセスがBLOCKされた記録が残りました。
|
|
5
5
|
・動作:BLOCK
|
|
6
|
-
・URL:http://
|
|
6
|
+
・URL:http://~.~.~/pms?module=logging&file_name=../../../../../../~/.aws/credentials&number_of_lines=10000
|
|
7
7
|
|
|
8
8
|
■ WEBサーバ
|
|
9
9
|
WEBサーバのログにも、同じ日時分秒、同様のアクセス記録が残りました。
|
1
読みやすく■行追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,12 +1,15 @@
|
|
|
1
1
|
### 現象
|
|
2
2
|
|
|
3
|
+
■ WAF
|
|
3
|
-
|
|
4
|
+
サーバのWAF(SiteGuard)に、不審なアクセスがBLOCKされた記録が残りました。
|
|
4
5
|
・動作:BLOCK
|
|
5
6
|
・URL:http://***.***.***/pms?module=logging&file_name=../../../../../../~/.aws/credentials&number_of_lines=10000
|
|
6
7
|
|
|
8
|
+
■ WEBサーバ
|
|
7
9
|
WEBサーバのログにも、同じ日時分秒、同様のアクセス記録が残りました。
|
|
8
10
|
・Error 403 GET /pms?module=logging&file_name=../../../../../../~/.aws/credentials&number_of_lines=10000 HTTP/1.0
|
|
9
11
|
|
|
12
|
+
■ サーバ会社
|
|
10
13
|
サーバ会社のテクニカルサポートに質問し、回答を得ました。
|
|
11
14
|
(Q)このアクセスは、WAFにBLOCKされたのか?すり抜けたのか?解説をお願いします。
|
|
12
15
|
(A)
|
|
@@ -15,6 +18,7 @@
|
|
|
15
18
|
>そのため、大変恐縮ではございますが、これ以上の回答は難しいこと、
|
|
16
19
|
>何とぞご理解の程よろしくお願いいたします。
|
|
17
20
|
|
|
21
|
+
■ WAFメーカー
|
|
18
22
|
メーカーへ直接質問する経路は見つかりませんでした。
|
|
19
23
|
https://www.eg-secure.co.jp/siteguard/inquiry
|
|
20
24
|
>テクニカルサポートに関するお問い合わせは、
|