AWS-AWSManagedRulesLinuxRuleSet
Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者がアクセスすべきでないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐのに役立ちます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。
- LinuxOSの重要なファイルを指定するとWAFで予め弾いてくれる
- クラスメソッドさんのサイトでは、
/etc/passwdでやってた。ここらへんのあたりのファイルが対象のもよう
- クラスメソッドさんのサイトでは、
curl -i https://dev.vamdemic.jp/proc/version
動作確認
/proc/varsionを指定すると、ALBから403で弾かれる
yuta:~ $ curl -i https://dev.vamdemic.jp/proc/version
HTTP/1.1 403 Forbidden
Server: awselb/2.0
Date: Sun, 08 Nov 2020 01:21:37 GMT
Content-Type: text/html
Content-Length: 118
Connection: keep-alive
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
</body>
</html>
yuta:~ $
/proc/varsioだと、ALBはぬけてその先のEC2内のApacheが返している
yuta:~ $ curl -i https://dev.vamdemic.jp/proc/versio
HTTP/1.1 404 Not Found
Date: Sun, 08 Nov 2020 01:21:39 GMT
Content-Type: text/html; charset=iso-8859-1
Content-Length: 196
Connection: keep-alive
Server: Apache/2.4.46 () OpenSSL/1.0.2k-fips PHP/7.2.34
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
WAFコンソールでも検知している
参考
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html
https://dev.classmethod.jp/articles/generate_test_log_with_waf_rules/