SqliMatchStatement 오탐

SqliMatchStatement의 LOW sensitivity 설정에서 "!@#!@#"과 같은 단순 특수문자가 SQL 인젝션으로 탐지되는 것은 의도된 동작일 가능성이 높습니다.

LOW sensitivity 설정은 덜 엄격한 SQL 인젝션 탐지를 제공하지만, 여전히 공격자들이 탐지를 우회하기 위해 사용하는 비정상적인 형식을 제거하고 검사합니다. 특수문자는 SQL 인젝션 공격에서 자주 사용되는 요소이기 때문에, LOW 설정에서도 이러한 패턴을 탐지할 수 있습니다.

만약 이러한 오탐(false positive)이 문제가 된다면, 다음과 같은 접근 방법을 고려할 수 있습니다:

1. 테스트 및 튜닝: AWS WAF 보호 규칙을 테스트하고 튜닝하는 과정에서 오탐을 완화하는 작업이 필요할 수 있습니다.

2. LOW sensitivity의 적절성 평가: LOW 설정은 이미 다른 SQL 인젝션 공격 방어 수단이 있거나 오탐에 대한 허용도가 낮은 리소스에 더 적합합니다.

3. 웹 요청 특성 고려: 웹 요청에 비정상적인 문자열이 자주 포함되는 경우, 이러한 탐지가 더 자주 발생할 수 있습니다.

이는 버그라기보다는 보안과 사용성 간의 균형을 맞추기 위한 설계상의 특성으로 보입니다. 특정 사용 사례에서 문제가 지속된다면, AWS 지원팀과 상담하여 추가적인 튜닝 방법을 논의하는 것이 좋습니다.
Sources
SqliMatchStatement - AWS WAFV2
SQL injection attack rule statement - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, and AWS Shield network security director