DyVEの機能でREST APIのJSONデータを保護

Airlock WAFはDyVE(Dynamic Value Endorsement)の機能で最新のモバイルアプリケーションでよく使用されているJSONのデータオブジェクトを保護します。複雑なルールの作成は不要で、DyVEの機能を有効にするのみ。以下は、どのように動作するかについて説明します。

AirlockはREST APIのJSONデータを保護します。

  1. アプリケーションは、クライアントがバランス転送に使用できるアカウント番号を含む1つまたは複数のJSONリクエストを送信します。
  2. Airlock WAFは、JSON構造から口座番号を抽出し、その値をセッションストアに保存します。
  3. ブラウザは、アカウント番号をドロップダウンリストにレンダリングします。クライアントは受益者口座を選択します。
  4. ブラウザは残高転送を説明するすべてのデータを含むJSON構造を作成し、JSON構造を送信します。
  5. Airlock WAFは、以前に記憶されたアカウントIDを使用して「target_account_id」フィールドを検証し、そのリクエストをサーバに転送する。
  6. クライアント(攻撃者など)はJSON構造を操作し、「target_account_id」をサーバからクライアントに送信されなかった新しい値に変更します。
  7. Airlock WAFは、新しいアカウントID「177-002-99」がセッションストア内に見つからないため、このリクエストをブロックします。

DyVEは、値のデータ形式と構文(シンタックス)だけでなく、現在のユーザーセッションのコンテキスト内の具体的な値も検証します。これにより、保護されたパラメータへのあらゆる種類の注入攻撃が防止されますが、ビジネスロジック攻撃も防止されます。

 

このページには©Ergon Informatik AGのコンテンツが搭載されています。