SQL インジェクション攻撃ルールステートメント - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SQL インジェクション攻撃ルールステートメント

このセクションでは、インSQLジェクションルールステートメントとその仕組みについて説明します。

SQL インジェクションルールステートメントは、悪意のあるSQLコードを検査します。攻撃者は、データベースを変更したり、そこからデータを抽出したりするために、悪意のあるSQLコードをウェブリクエストに挿入します。

ルールステートメントの特性

ネスト可能 - このステートメントタイプはネスト可能です。

WCUs – 基本コストは、ルールステートメントの機密性レベルの設定によって異なります。Low コスト 20 および High 料金は 30 です。

リクエストコンポーネント すべてのクエリパラメータ を使用する場合は、10 を追加しますWCUs。リクエストコンポーネントJSON本文 を使用する場合は、基本コスト の 2 倍になりますWCUs。適用するテキスト変換ごとに、10 個の を追加しますWCUs。

このステートメントタイプは、ウェブリクエストコンポーネントで動作し、次のリクエストコンポーネント設定が必要です。

  • [リクエストコンポーネント] — ウェブリクエストの検査対象部分 (クエリ文字列や本文など)。

    警告

    リクエストコンポーネント本文JSON本文 ヘッダー 、または Cookie を検査する場合は、コンテンツの量に関する制限についてお読みください。 AWS WAF は で検査できますでのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF

    ウェブリクエストコンポーネントの詳細については、「でのルールステートメント設定の調整 AWS WAF」を参照してください。

  • オプションのテキスト変換 – 必要な変換 AWS WAF は、検査する前にリクエストコンポーネントで を実行します。例えば、小文字に変換したり、空白を正規化したりできます。複数の変換を指定する場合は、 AWS WAF はリストされた順序で処理します。詳細については、でのテキスト変換の使用 AWS WAF を参照してください。

さらに、このステートメントには、次の設定が必要です。

  • 感度レベル — この設定は、SQLインジェクション一致基準の感度を調整します。オプションは次のとおりです。LOW また、HIGH。 デフォルト設定は です。LOW.

    - HIGH 設定はより多くのSQLインジェクション攻撃を検出し、 が推奨設定です。感度が高いため、この設定では、特にウェブリクエストに通常とは異なる文字列が一般的に含まれている場合に、より多くの誤検知が生成されます。ウェブACLテストとチューニング中に、誤検出を軽減するためにさらに多くの作業が必要になる場合があります。詳細については、のテストとチューニング AWS WAF 保護 を参照してください。

    低い設定では、SQL注入検出の厳密さが低くなり、誤検出も少なくなります。LOW は、インSQLジェクション攻撃に対する他の保護機能を持つリソースや、誤検出に対する耐性が低いリソースに適しています。

このルールステートメントの場所

  • コンソールのルールビルダー一致タイプ で、攻撃一致条件 > インSQLジェクション攻撃を含む を選択します。

  • APISqliMatchStatement