WAF設定

マニュアル

本マニュアルは新・旧サーバーパネルに合わせて2種類ご用意しています。

旧サーバーパネル

WAF設定について
各設定項目について

WAF設定について

WAF（Webアプリケーションファイアウォール）は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。

不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。

サーバーパネルの設定画面より、対策が必要な項目を設定することが可能です。
※WAF設定の追加・変更後、反映まで最大1時間程度かかる場合があります。

設定前に必ずお読みください

WAF設定では、有害な可能性のあるアクセスを検知する機能を提供しますが設定により不正アクセスを100%駆除することを保証するものではありません。

あくまでWebアプリケーションの持つ脆弱性に対する不正アクセスへの最低限の予防策となります。
脆弱性に対する不正アクセスへの根本的対応として、随時最新バージョンのアプリケーションの利用やセキュリティ対応が必ず必要となりますので、ご確認の上ご利用ください。

各設定項目について

以下の項目への対策が設定可能です。

XSS　(クロスサイトスクリプティング)
対策内容	avascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
不正アクセス例	クッキーの値を不正に取得、設定しセッションハイジャックを行う CSRF(クロスサイトリクエストフォージェリ)の踏み台とする URL等を偽装し利用者をフィッシングサイトへ誘導する
ターゲット	掲示板ブログシステム他、第三者が入力した情報を表示するアプリケーション全般

SQL　(SQLインジェクション)

対策内容

SQL構文に該当する文字列が挿入されたアクセスについて検知します。

不正アクセス例

SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
データベース情報の漏洩を試みる
データベースの情報の書き換えや破壊を試みる

ターゲット

データベース登録を行う会員制サイト
データベースを利用したアプリケーション全般

※利用者の入力した内容からSQL文を生成するアプリケーションが不正アクセスの対象となります。

ファイル　(ファイル不正アクセス)
対策内容	.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
不正アクセス例	パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行うサーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
ターゲット	画像アップロード機能付き掲示板ファイル操作が行われるアプリケーション

メール　(メールの不正送信)
対策内容	to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
不正アクセス例	メールが送信されるフォームを利用した第三者への大量メール送信が行われる
ターゲット	メールを送信する機能を備えたアプリケーション

コマンド　(コマンドアクセス／実行)
対策内容	kill、ftp、mail、ping、ls　等コマンドに関連する文字列が含まれたアクセスを検知します。
不正アクセス例	コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させるサーバーに関する重要な情報の盗み見や、踏み台として利用する
ターゲット	PHPやPerl等で作成されコマンド実行を利用するアプリケーション

PHP　(PHP関数の脆弱性)
対策内容	session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
不正アクセス例	セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り不正ファイルのアップロードを踏み台にサーバーの乗っ取り
ターゲット	PHPを用いたアプリケーション全般

新サーバーパネル

WAF設定について
各設定項目について

WAF設定について

WAF（Webアプリケーションファイアウォール）は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。

不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。

サーバーパネルの設定画面より、対策が必要な項目を設定することが可能です。

WAF設定

設定前に必ずお読みください

※WAF設定の追加・変更後、反映まで最大30分程度かかる場合がありますのであらかじめご了承ください。

各設定項目について

以下の項目への対策が設定可能です。

XSS　(クロスサイトスクリプティング)
対策内容	javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
不正アクセス例	クッキーの値を不正に取得、設定しセッションハイジャックを行う CSRF(クロスサイトリクエストフォージェリ)の踏み台とする URL等を偽装し利用者をフィッシングサイトへ誘導する
ターゲット	掲示板ブログシステム他、第三者が入力した情報を表示するアプリケーション全般

SQL　(SQLインジェクション)
対策内容	SQL構文に該当する文字列が挿入されたアクセスについて検知します。
不正アクセス例	SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行するデータベース情報の漏洩を試みるデータベースの情報の書き換えや破壊を試みる
ターゲット	データベース登録を行う会員制サイトデータベースを利用したアプリケーション全般 ※利用者の入力した内容からSQL文を生成するアプリケーションが不正アクセスの対象となります。

ファイル　(ファイル不正アクセス)
対策内容	.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
不正アクセス例	パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行うーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
ターゲット	画像アップロード機能付き掲示板ファイル操作が行われるアプリケーション

メール　(メールの不正送信)
対策内容	to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
不正アクセス例	メールが送信されるフォームを利用した第三者への大量メール送信が行われる
ターゲット	メールを送信する機能を備えたアプリケーション

コマンド　(コマンドアクセス／実行)
対策内容	kill、ftp、mail、ping、ls　等コマンドに関連する文字列が含まれたアクセスを検知します。
不正アクセス例	コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させるサーバーに関する重要な情報の盗み見や、踏み台として利用する
ターゲット	PHPやPerl等で作成されコマンド実行を利用するアプリケーション

PHP　(PHP関数の脆弱性)
対策内容	session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
不正アクセス例	セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り不正ファイルのアップロードを踏み台にサーバーの乗っ取り
ターゲット	PHPを用いたアプリケーション全般

このマニュアルは役に立ちましたか？