@shinyaz

Security Agent のペンテストはシングルスレッドサーバーをクラッシュさせる — gunicorn 等が必須

約1分
#aws#security-agent#penetration-testing

Security Agent のペネトレーションテストを Flask 開発サーバー(python3 app.py、シングルスレッド)で動かしたら、PENTEST フェーズの途中でテストが FAILED になった。エラー:

Output
{
  "code": "CLIENT_ERROR",
  "message": "Endpoints not accessible after 5 consecutive validation attempts: ['http://...: HTTP 503 for user-agent:securityagent. Check WAF/Cloudflare settings']"
}

Security Agent は XSS、SQLi、IDOR、SSRF、SSTI 等の13カテゴリの攻撃タスクを並列に実行する。シングルスレッドの Flask 開発サーバーでは並列リクエストを処理しきれずクラッシュした。

gunicorn(4ワーカー)に切り替えたら正常完了した:

Terminal
sudo systemd-run --unit=vuln-app \
  --working-directory=/opt/vulnerable-app \
  gunicorn --bind 0.0.0.0:80 --workers 4 --timeout 120 app:app

本番環境では問題にならないが、検証用に簡易サーバーを立てる場合は忘れがちなポイントだ。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援をしており、クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る