86. Что такое waf (Web application frameworks)? Приведите примеры

Download 46,5 Kb.

bet	2/3
Sana	22.02.2022
Hajmi	46,5 Kb.
	#112115

1 2 3

Bog'liq
Хожиакбаров Муродхон 016-18группа

Web Application Firewall — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:

SQL Injection — sql инъекции;
Remote Code Execution (RCE) — удаленное выполнение кода;
Cross Site Scripting (XSS) — межсайтовый скриптинг;
Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
Remote File Inclusion (RFI) — удалённый инклуд;
Local File Inclusion (LFI) — локальный инклуд;
Auth Bypass — обход авторизации;
Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
Bruteforce — подбор паролей.

Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
На сегодняшний день высокая стоимость информации, обрабатываемая в процессинге веб-приложений, в совокупности с угрозой взлома увеличивает риски информационной безопасности компаний. В этих условиях встает закономерный вопрос: что предпринять для защиты веб-приложений? Контрмеры можно внедрять на двух этапах жизни приложения —разработки и эксплуатации. На этапе разработки — это различные инструменты тестирования безопасности: статический, динамический, интерактивный анализ. Если говорить о безопасности уже эксплуатируемого приложения, то здесь предлагается использовать наложенные средства защиты — системы предотвращения вторжений, межсетевые экраны следующего поколения (Next Generation Firewall, сокращенно NGFW), а также средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения (Web Application Firewall, сокращенно — WAF). Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. Одним из основополагающих факторов здесь служит узкоспециализированная разработка.

Общие требования к современному Web Application Firewall: системные компоненты WAF должны соответствовать требованиям PCI DSS;

возможность реагирования на угрозы, описанные в OWASP Top Ten;
- инспектирование запросов и ответов в соответствии с политикой безопасности, журналирование событий; предотвращение утечки данных — инспекция ответов сервера на наличие критичных данных;
- применение как позитивной, так и негативной модели безопасности; инспектирование всего содержимого веб-страниц, включая HTML, DHTML и CSS, а также нижележащих протоколов доставки содержимого (HTTP/HTTPS);
- инспектирование сообщений веб-сервиса, если веб-сервис подключен к интернету (SOAP, XML);
- инспектирование любого протокола или конструкции данных, использующихся для передачи данных веб-приложения вне зависимости от того, является ли он проприетарным или стандартизованным (как для входящих, так и исходящих потоков данных);
защита от угроз, направленных непосредственно на WAF;
поддержка SSL\TLS-терминации соединения;
предотвращение или обнаружение подделки идентификатора сессии;
- автоматическое скачивание обновлений сигнатур атак и применение их;
возможность установки режима fail-open и fail-close;
поддержка устройством клиентских SSL-сертификатов;
поддержка аппаратного хранения ключей (FIPS).

Download 46,5 Kb.

Do'stlaringiz bilan baham:

1 2 3