آشنایی با فایروال برنامه های وب (WAF)

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

w1برنامه ها و نرم افزارهایی که به مشتریان یا کاربران نهایی سرویس ارایه می دهند می توانند نسبت به بسیاری از تهدیدات، آسیب پذیر باشند. هر چند که بسیاری از این تهدیدات می توانند توسط توسعه دهنده برنامه جلوگیری شوند اما باید توجه کنیم که اغلب این مسأله خارج از کنترل صاحب وب سایت می باشد.

یک WAF یا Web Application Firewall یک لایه امنیتی و کنترلی مابین مشتریان و برنامه یا سرویس شما فراهم می کند.یک WAF تمامی دسترسی ها به برنامه وب را با ابزارهای امنیتی و کنترلی ترافیک ورودی به برنامه وب سایت و ترافیک پاسخ از سمت برنامه وب شما را فیلتر می کند. WAF با امن کردن ساختار برنامه و همچنین کاربر برنامه، مکمل فایروال در شبکه شما می باشد و لایه دیگری از امنیت را به ارمغان می‌آورد. برنامه ها و نرم افزارهای وبی می توانند با تهدیدات زیادی آسیب پذیر شوند که به وسیله فایروال ها در شبکه قابل تشخیص نمی باشند.
انواع و دامنه تهدیدات:
برنامه ها می توانند در مقابل بسیاری از تهدیدات که قابل شناسایی به وسیله فایروال ها نیستند آسیب پذیر باشند تأثیر این نوع حملات می تواند بسیار شدید باشد.
پروژه امنیت برنامه کاربردی وب باز (Open Web Application Security Project) که آن را OWASP می گویند لیست ۱۰ ریسک و خطر مهمتر که هنوز برنامه های کاربردی وب را مورد تهدید قرار می دهند آورده است. مهمترین ریسک ها در سال ۲۰۱۰ مجازا مطابق ورژن جدید ۲۰۱۳ آن می باشد.
رایج ترین حملات در طی سال ها تغییرات چشمگیری نکرده است. چند نمونه از این حملات در ادامه مطرح می شود:
تزریق کد: حملات SQL Injection از فرمهای وبی یا دیگر مکانیزم ها برای ارسال دستورات SQL یا دستورات شامل کاراکتر های خاص SQL استفاده می کنند. با ارسال این دستورات SQL، حمله کنندگان می توانند بخش مدیریت پایگاه داده ی SQL را مورد هدف قرار داده و دستورات تزریق شده را اجرا کنند و کاربران غیر مجاز به اطلاعات حساس پایگاه داده دسترسی پیدا کنند.
Cross-Site Scripting) XSS): حملات XSS به دلیل عدم اعتبار سنجی ورودی های کاربران می باشد و مهاجمان می توانند با تزریق اسکریپت های مخرب در سایت از این آسیب پذیری سوء استفاده کنند.
افشای اطلاعات حساس و محرمانه:
اگر برنامه ی وب شما از اطلاعات محرمانه وحساس مانند شماره کارت اعتباری یا اعداد اجتماعی (SSN Social Security Number) محافظت نکند، حمله کنندگان قادر به سرقت اطلاعات هویتی و محرمانه، کلاه برداری و دیگر جرایم می شوند.
جعل تقاضای عبور سایت Cross-Site Request Forgery CSRF:
حملات CSRF کاربر را مجبور به ارسال درخواست HTTP که شامل کوکی های نشست قربانی است به برنامه ی وب آسیب پذیر می کند، برای این برنامه وب آسیب پذیر این درخواست که از طرف قربانی می‌آید، قانونی و مجاز به نظر می رسد.
WAF یک دیوار حفاظتی کامل با مکانیزم های امنیتی برای حفاظت از برنامه ی وب شما را فعال می کند که تضمینی در مقابل آسیب پذیری کد ها و جلوگیری از نشست اطلاعات می باشد. برآوردن آمنیت در صنایع پرداخت با کارت (PCI) و یا استاندارد امنیت داده (DSS) کمک می کند.شرکت فرانسوی BEE-WARE که تولید کننده راهکار امنیتی WAF می باشد، طراحی شده با بهترین ابزارهای محافظتی برای حصول اطمینان کارایی و زمان آپ تایم برنامه های وب می باشد.
یک WAF نباید تنها محدود به ارایه حفاظت در لحظه ی خاص باشد. BEEWARE تضمین می کند که به صورت داینامیک پردازش را انجام می دهد و متناسب با تغییرات برنامه خود را وفق می دهد و نیازی به مداخله ی ادمین شبکه نیز ندارد. برای تأمین امنیت کامل و درست و تأثیر گذار برنامه های وب یک WAF باید بتواند با کنترل شناسایی کاربران نیز همراه باشد. این مطلب می رساند که نیاز به راهکار پیاده سازی ساده مدیریت دسترسی به وب (Web Access Management) نیز وجود دارد.محصول WAF شرکت BEEWARE ماژول WAM رانیز پشتیبانی کرده و همراه با WAF ارایه می نماید.