PIED_PIPER’s diary

ネットワークエンジニア視点からの Web Security, WAF についてのブログです.

Positive Security Model と Negative Security Model

WAF にも色々なベンダーや Open Source のものがあると思いますが,基本的なアプローチは Positive Security Model か Negative Security Model に則っているはずです.

 

Positive Security Model : 

ホワイトリスト型のアプローチ.例えば, URI は /home.html と /profile.html だけを許可して,あとは全て violation と認識するといったように,許可するリソースを明示的に設定する方法.

 

Negative Security Model : 

ブラックリスト型のアプローチ.例えば既知の攻撃パターンに該当するものはブロックして,あとは許可するといった方法.

 

Positive, Negative という話が出たので,False Positive と False Negatie の説明もしておきます.

 

False Positive :

正当なリクエスト (legitimate request) を不正なリクエストとして誤検知してしまうこと.

False Negative :

不正なリクエスト (illegal request) を許可してしまうこと.