86. Что такое waf (Web application frameworks)? Приведите примеры



Download 46,5 Kb.
bet2/3
Sana22.02.2022
Hajmi46,5 Kb.
#112115
1   2   3
Bog'liq
Хожиакбаров Муродхон 016-18группа

Web Application Firewall — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:



  • SQL Injection — sql инъекции;

  • Remote Code Execution (RCE) — удаленное выполнение кода;

  • Cross Site Scripting (XSS) — межсайтовый скриптинг;

  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;

  • Remote File Inclusion (RFI) — удалённый инклуд;

  • Local File Inclusion (LFI) — локальный инклуд;

  • Auth Bypass — обход авторизации;

  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;

  • Bruteforce — подбор паролей.

Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений? Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.


Общие требования к современному Web Application Firewall: системные компоненты WAF должны соответствовать требованиям PCI DSS;

  • возможность реагирования на угрозы, описанные в OWASP Top Ten;

    • инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий; предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;

    • применение как позитивной, так и негативной модели безопасности; инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);

    • инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);

    • инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);

  • защита от угроз, направленных непосредственно на WAF;

  • поддержка SSL\TLS-терминации соединения;

  • предотвращение или обнаружение подделки идентификатора сессии;

    • автоматическое скачивание обновлений сигнатур атак и применение их;

  • возможность установки режима fail-open и fail-close;

  • поддержка устройством клиентских SSL-сертификатов;

  • поддержка аппаратного хранения ключей (FIPS).




        1. Download 46,5 Kb.

          Do'stlaringiz bilan baham:
1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish