はじめに
WAFやAntiVirusなどのセキュリティソフトをインストールした際、本当に正しくインストールされているか?攻撃をちゃんと防いでくれるのか?ということを確認したいために、簡単に疑似攻撃する手法をまとめようと思います。
WAF
SQL Injection
https://${FQDN}/?id=%27+or+1%3D1--%27&Submit=Submit#
よくあるSQLInjectionの攻撃パターンです。このURLをブラウザから叩くだけで擬似攻撃となります。
ちなみに僕は AWS WAF のマネージドルールCyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-に対して実施しましたが、ちゃんと攻撃とみなしてくれて、想定通りブロックされることがわかりました。
AntiVirus
(途中)