概要

R社は健康食品のECを運営している。データセンターのネットワーク図が登場。DBの前にFW2を設置している。気になる。図2の販売システムの概要の内容は普通。

脆弱性発見の情報

セキュリティ専門会社から、セッションIDが推測できる脆弱性の報告を受ける。下線部1登場。FWでセッションIDの偽造を判別できない理由を聞いている。おそらく、FWはパケットフィルタリング型なのでセッションIDまで見れないからと回答する。読み進めると、販売システムの注文受付を停止するという決断。さすがS主任。もし下線部1の理由が間違っていたら大変なことになると思った。

WAFによる対策の検討

セキュリティ会社のQ氏が提案する。下線部2登場。クッキーにセッションIDを保存するので、クッキーを暗号化するとセッションIDが推測されやすいという問題が解決される。楽勝。

下線部3登場。属性の効果を維持できると言っているので、セッションID以外の属性が暗号化されていないアとウを選択。
下線部4登場。クッキーの利用方法によっては問題が出る可能性があるとのこと。クッキーってユーザの認証にしか利用しなしのでは??ネットワーク図を再度確認するが、やはり分からない。

(a)の登場。(a)が十分に減少すればよい。これはフォールスネガティブ。フォールスネガティブは最悪と覚えてる。下線部5登場。シグネチャを無効化しても良い条件を聞いている。なんかすっきりしないが、シグネチャがどの脆弱性と対応しているかを確認し、無効化を検討すると回答した。

WAFの導入

下線部6登場。なぜSSLをWAFで終わらせるかと聞いている。これはかなりよく出るパターン。暗号化のされている経路ではフィルタリングできないから。楽勝!