【連載】
セキュアなWebサイトを運営するための
Webアプリケーションに潜むセキュリティホール

第11回 Webアプリケーションファイアウォールによる防御

中村隆之
三井物産セキュアディレクション
2004/8/7

---

mod_securityとは

　mod_securityは、GNUライセンスの下で公開されている、オープンソースのWAFである。mod_securityの公式サイトでは、「intrusion detection and prevention engine」と説明されている。

【mod_security】 http://www.modsecurity.org/

●mod_securityをApacheに組み込む

　本稿ではmod_securityを動かす環境として、

RedHat Linux 9.0
apache 1.3.31（DSO対応版でソースからコンパイルしてインストール）

を使用した。ほかの環境でも導入手順は大して変わらないだろう。なお、Windows上のApacheでは試していないのだが、Windows版のmod_securityはソースではなくDLLで提供されているので、インストールに関しては特に難しいことはないと思う。

　mod_securityは、以下のURLから最新版をダウンロードできる。

【mod_security最新版ダウンロード】 http://www.modsecurity.org/download/index.html

　本稿執筆時点での最新版は1.8.2である。筆者は「mod_security-1.8.2.tar.gz」を使用した。コンパイル／インストールは以下の4ステップで終了する。

　（1）　tar zxvf mod_security-1.8.2.tar.gz
　（2）　cd mod_security-1.8.2
　（3）　cd apache1
　（4）　sudo /usr/local/apache-1.3.31/bin/apxs -cia mod_security.c

　apache 2.xを使用している場合は、ステップ（3）で、ディレクトリ「apache2」に移動する。それ以外の手順は同じである。以上でモジュールが作成され、モジュールを読み込む設定がhttpd.confに書き込まれているはずである。

　以降では、mod_securityの設定を行っていくことにしよう。mod_securityの設定は、ほかのモジュールと同じく、httpd.confを編集する。

mod_securityの主な機能

　mod_securityは、apacheに組み込むモジュールであるため、apacheが使用するデータすべてに対して処理を行うことができる。mod_security が行う主なチェックを以下に示す。

・データのエンコードチェック（URLエンコード、Unicodeエンコード） ・データのバイト値の範囲チェック ・Serverヘッダの書き換え ・接続元IP、ホストのチェック ・URLパラメータに対するチェック ・POSTデータに対するチェック ・URLパラメータ／POSTデータの各パラメータ名のチェック ・URLパラメータ／POSTデータの各パラメータ値のチェック ・Cookie名、Cookie値のチェック ・特定のHTTPヘッダのチェック ・特定の環境変数のチェック ・特定のパラメータ（URL/POST）の値のチェック ・特定のCookieの値のチェック

　また、それぞれのチェックに引っ掛かった場合の動作として、

・許可／不許可 ・リターンコード ・リダイレクト ・プログラムの実行 ・ロギング

などを指定することができる。

設定サンプル

　まずは以下の設定を見てほしい。

1: <IfModule mod_security.c> 2: 3: SecFilterEngine On 4: SecFilterScanPOST On 5: 6: SecFilterDefaultAction "deny,log,status:406" 7: 8: SecAuditEngine RelevantOnly 9: SecAuditLog logs/audit_log 10: 11: SecFilterSelective ARGS ("|>|<|'|script|onerror) 12: 13: </IfModule>

　これは、非常に簡単なクロスサイトスクリプティング対策用の設定である。順に説明していこう。

3行目	mod_securityの機能をONにする。ONにしないと全く動かない。
4行目	POSTデータもスキャンするようにする。
6行目	フィルタにマッチした場合のデフォルト動作。 ここでは、 　・不許可 　・ロギング（apacheのエラーログに出力） 　・ステータスは406（Not Acceptable）を返す という設定。
8行目	フィルタにマッチした場合のみAuditログに記録。 このAuditログはデフォルト動作でのロギング用ファイルとは別物。
9行目	mod_securityのAuditログファイル。 ここに出力される内容は8行目で指定したもの。
11行目	URLパラメータとPOSTデータのすべてをチェック対象とする。 データ中に、正規表現「("|>|<|'|script|onerror)」にマッチする個所があるかどうかチェックする。

　まずは上記のような簡単な設定を用いて、正しく動作するかどうか確認するところから入ろう。上記の設定をhttpd.confに書き込んだら、apacheを再起動しよう。このとき、ログファイル「audit_log」が生成されているか確認しておく。このファイルが生成されていない場合はインストールがうまくいっていない可能性があるので、インストール手順をもう一度見直してほしい。

動作確認

　mod_securityをインストールしたapache上に適当なCGIを作成しておこう。本稿では以前より使用しているショッピングサイトを使用することにする。

　ログインフォームに「"><s>a</s>」と入力してみる（図3）と、エラー画面が表示される（図4）。このときステータスコードは406と表示されている。

図3　ログインフォームに「"><s>a</s>」と入力

図4　エラー画面

　また、同時にAuditログファイルにも出力されているので確認しておこう。攻撃リクエストがそのままの状態でログに出力されていることが分かる。

POST /login.cgi HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate Accept-Language: ja Cache-Control: no-cache Connection: Keep-Alive Content-Length: 47 Content-Type: application/x-www-form-urlencoded Cookie: ss=300711200428072255 Host: www.example.com Referer: http://www.example.com/index.cgi User-Agent: Mozilla/4.0 mod_security-message: Access denied with code 406. Pattern match "(""|>|<|'|script|onerror)" at ARGS mod_security-action: 406 47 loginid=%22%3E%3Cs%3Ea%3C%2Fs%3E&password=aaaaa HTTP/1.1 406 Not Acceptable Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1

　今回は、非常に簡単なサンプル設定を用いて、mod_securityの動作説明を行った。mod_securityは、手軽にインストールでき、正しく設定すれば、かなり強固な防御策となり得る。前述したように、残念ながらmod_securityではロジック系の攻撃には対処することはできないが、オープンソースであるので、今後そのような機能が実装されていくことを期待しよう。次回はもう少し実践的なmod_securityの使用方法について説明することにする。

2/2

「第12回」へ

Index
Webアプリケーションファイアウォールによる防御
	Page1 Webアプリケーションファイアウォール ポジティブモデルとネガティブモデル WAFの種類
	Page2 mod_securityとは mod_securityの主な機能 設定サンプル 動作確認

Profile

中村隆之（なかむらたかゆき） 三井物産セキュアディレクション株式会社勤務。 セキュリティコンサルタントとして主にWebアプリケーションのセキュリティ検 査に従事しており、大手ポータルサイト、オンラインバンキングなどの数多くの 検査実績を持つ。また、セキュアネットワーク及び暗号関連の研究に携わり、大 手製造、官公庁、金融機関へのセキュリティシステム導入など数多くの実績を持 つ。 三井物産セキュアディレクション株式会社 主に、不正アクセス監視サービス、セキュリティ検査、セキュリティポリシー策定支援などのサービス提供している。また、セキュリティに関する教育サー ビスも実施中。

関連記事 特集：クロスサイトスクリプティング対策の基本 連載：不正侵入の手口と対策 連載：インシデントレスポンスはじめの一歩〜rootkitを検出するために

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）