こんにちは、セキュリティエンジニアリングの西川です。
WAFのワークショップ(NET308-R1 | Get hands-on with fraud prevention using AWS WAF )に参加し、面白い機能がAWS WAFに追加されていたので、そちらを紹介します。 なお、ここではAWS WAFの説明は割愛します。
今日ご紹介したいのはApplication integrationという新機能です。 画像の左側をみていただくとわかる通りNewのアイコンが出ていますね。
Application integrationでは、アカウントへの不正アクセスを防止するための機能で、ログインページで用いられます。 機能としては二つあって、一つ目がInteligent threat integration、もう一つがCAPTCHA integrationです。CAPTCHAはみなさんご存知のとおり、「自転車はどれか?」みたいな文言とともに画像が出てきて、それを選択していくタイプのもので、ボットか人間かを判別するために利用されます。 一方、Inteligent threat integrationは、JavaScriptのSDKを使用します。使用すると言ってもHTMLにJSの呼び出しコードを書くだけです。 さて、これで何ができるかというと、必ずブラウザからのリクエストであるということが保証されるようになります。 これ地味にすごいというか嬉しいんですよね。トークンみたいなものだと、取り方は色々あるので、ブラウザからのアクセスは保証されないですが、JSを読み込むことによってブラウザのアクセスであるということが保証されるというのは面白いアイデアだと思いました。
エラーのところは今まで通りカスタムレスポンスを返せるようになっているのでアプリケーションにも組み込みやすいです。
特に認証のところは色々な攻撃方法があるので、こういうアップデートが出てきてくれるのは本当にありがたいです。
今回はこの機能についてのみのご紹介でしたので、ここまでです。 引き続き情報発信をがんばります!