WAFを信用してはならない。mod_securityに意外な落とし穴。
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
ウィルスチェッカと同じでWAF(Web Application Firewall)を信用(少なくとも過信)してはならないのは当然ですが、MOPBのおまけとしてmod_securityの問題が公開されています。NULL文字で入力終わりとなる仕様はどうなんでしょう?元ねたはこちら。
2007/2/27リリースの最新版2.1.0のmod_securityでもNULLバイトでルールをバイパスできるようです。この問題は既知で常識な問題? PHP4系を除くと基本的にNULL文字を文字列の終了とみなさない全ての言語がこの問題の影響を受けるようです。WAFだけでセキュリティは守れる訳がないですがNULLバイト以降を処理しないのは、いくら言語やライブラリのRFC違反でも、酷過ぎな気もします。