AWS WAFでSQLインジェクションをブロックしてみた | DevelopersIOはじめに こちらの記事でご紹介したSQLインジェクション脆弱性を持つWebサイトを用意し、AWS WAFで攻撃をブロックしてみました。 CloudFront ディストリビューションの作成 Webディストリビューションを作成します。 試験サイトではHTMLフォームでPOSTを使います。 Allowed HTTP Methodsにて、GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETEを選択します。 CloudFront経由で接続可能なことを確認します。 試験サイトでは、ユーザ名とパスワードを入力することでそのユーザーのメールアドレスを表示します。 パスワードに' OR 'A' = 'Aを指定すると、全てのユーザーのメールアドレスが表示されます。 SQLが意図せず成立し、他のユーザの情報が流出した状況が再現されました。 AWS WAFを設定してみる Get
