Airlock WAFはDyVE(Dynamic Value Endorsement)の機能で最新のモバイルアプリケーションでよく使用されているJSONのデータオブジェクトを保護します。複雑なルールの作成は不要で、DyVEの機能を有効にするのみ。以下は、どのように動作するかについて説明します。
- アプリケーションは、クライアントがバランス転送に使用できるアカウント番号を含む1つまたは複数のJSONリクエストを送信します。
- Airlock WAFは、JSON構造から口座番号を抽出し、その値をセッションストアに保存します。
- ブラウザは、アカウント番号をドロップダウンリストにレンダリングします。クライアントは受益者口座を選択します。
- ブラウザは残高転送を説明するすべてのデータを含むJSON構造を作成し、JSON構造を送信します。
- Airlock WAFは、以前に記憶されたアカウントIDを使用して「target_account_id」フィールドを検証し、そのリクエストをサーバに転送する。
- クライアント(攻撃者など)はJSON構造を操作し、「target_account_id」をサーバからクライアントに送信されなかった新しい値に変更します。
- Airlock WAFは、新しいアカウントID「177-002-99」がセッションストア内に見つからないため、このリクエストをブロックします。
DyVEは、値のデータ形式と構文(シンタックス)だけでなく、現在のユーザーセッションのコンテキスト内の具体的な値も検証します。これにより、保護されたパラメータへのあらゆる種類の注入攻撃が防止されますが、ビジネスロジック攻撃も防止されます。
このページには©Ergon Informatik AGのコンテンツが搭載されています。