2024年度クラウドネイティブセキュリティおよび利用状況レポート
Sysdigの研究チームは、DOMイベントを利用してAWS WAFをバイパスする方法を発見しました。
WAFは通常、ウェブアプリケーションを不正行為から守るために配置されますが、この発見により、AWS WAFが完璧ではないことが示されました。
研究チームは、AWS WAFのルールセットをテストし、その限界を探りました。
特に、`onbeforetoggle`イベントを使用すると、WAFの保護を回避し、JavaScriptコードを実行できることがわかりました。
この技術は、攻撃者が脆弱なアプリケーションに悪意のあるスクリプトを挿入し、ユーザーデータやシステムの安全性を危険にさらす可能性があります。
結果として、どんなセキュリティソリューションも不完全であり、常に適応し、テストする必要があることが強調されました。
このバイパス手法はF5 WAFおよびModSecurityでもテストされ、これらはペイロードを適切にブロックできることが確認されました。