WAFにおけるフォールスポジティブに該当するものはどれか。
- HTMLの特殊文字“く”を検出したときに通信を遮断するようにWAFを設定した場合,“く”などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
- HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
- 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
解答
ア
解説
WAFにおけるフォールスポジティブとは、正当な通信を誤って攻撃と検知してしまう現象です。これは、WAFが攻撃のパターンを定義するために使用するシグネチャやルールが、必ずしも完璧ではないために起こります。
- HTMLの特殊文字“く”を検出したときに通信を遮断するようにWAFを設定した場合,“く”などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
正しいです。
フォールスポジティブに該当します。 - HTTPリクエストのうち,RFCなどに仕様が明確に定義されておらず,Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して,攻撃の命令を埋め込んだHTTPリクエストが送信されたとき,WAFが遮断しない。
WAFの機能制限による問題であり、フォールスポジティブとは異なります。 - HTTPリクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAFを設定した場合,許可しない文字列をパラメータ中に含んだ不正なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。
WAFが正常に機能している例であり、フォールスポジティブではありません。 - 悪意のある通信を正常な通信と見せかけ,HTTPリクエストを分割して送信されたとき,WAFが遮断しない。
WAFの回避方法の一つであり、フォールスポジティブとは異なります。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | 情報セキュリティ対策 |
出題歴
- SC 令和5年度春期 問10
