دیوار آتش برنامههای وب
دیواره آتش برنامههای تحت وب (به انگلیسی: Web application firewall) یک حالت خاص از دیواره آتش لایه کاربرد است که بر روی وب کار میکند و میتواند ترافیک پروتکل انتقال ابرمتن ورودی و خروجی یک برنامه کاربردی وب را فیلتر، نظارت یا مسدود کند. فایروال وب با بررسی ترافیک HTTP میتواند از حملات بر روی برنامههای وب جلوگیری کند.[۱] حملاتی از جمله تزریق اسکیوال، تزریق اسکریپت از طریق وبگاه، درج فایل یا تغییر تنظیمات سیستمی.[۲]
تاریخچه[ویرایش]
فایروالهای وب در اواخر دهه ۱۹۹۰ زمانی که حملات به سرورهای وب افزایش یافته بود، وارد بازار شدند.[۳]
اولین محصول از فایروال وب توسط شرکت پرفکتو تکنولوجیز با نام اپشیلد توسعه پیدا کرد که بیشترین تمرکز آن بر روی بازار تجارت الکترونیک بود.[۴]
در سال ۲۰۰۲، یک پروژه متنباز به نام مودسکیوریتی ایجاد شد تا فناوری فایروال وب را بیشتر در دسترس قرار دهد. این پروژه از یک سری قانون و فیلترهای اولیه برخوردار بود که از برنامههای وب حفاظت میکرد و اساس کار آن بر اساس خط مشی اواسپ بود.[۵]
در سال ۲۰۰۳، این پروژه قانونها و فیلترهای خود را گسترش داد تا خود را با فهرست ۱۰ استاندارد برتر اواسپ، که یک رتبهبندی از بیشترین آسیبپذیریها را ارائه میکند، هماهنگ کند.[۶]
بر اساس مجله CISO انتظار میرود که بازار فایروالهای وب تا سال ۲۰۲۲، ۵٫۴۸ میلیارد دلار رشد کند.[۷]
مشخصات[ویرایش]
فایروال وب نوع خاصی از فایروال است که بهطور خاصی برای برنامههای وب پیادهسازی میشود. این سامانه در بیرون از مسیر برنامههای وب قرار میگیرد و ترافیک وب ورودی و خروجی را بررسی میکند و هر چیز مخربی را شناسایی و مسدود میکند. اواسپ، یک تعریف فنی برای فایروال وب ارائه میکند: «یک راه حل امنیتی در سطح برنامههای وب که از نظر فنی مستقل از خود برنامهٔ وب است».[۸]
PCI DSS 6.6 فایروال وب را اینگونه توصیف میکند: «فایروال وب سامانهای برای اجرای سیاست امنیتی بین برنامهٔ وب و مشتری است که میتواند هم به صورت نرمافزاری و هم بهصورت سختافزاری پیادهسازی شود».[۹]
این سامانه میتواند هم در سطح دستگاههای خانگی و هم در سطح سرورها پیادهسازی شود. فایروال وب میتواند هم به صورت یک سامانه مستقل و هم در تجمیع با دیگر سامانههای شبکه پیادهسازی شود. به عبارت دیگر یک فایروال وب میتواند هم به صورت فیزیکی و هم به صورت مجازی پیادهسازی شود تا در مقابل تهدیدات خارجی از آسیبپذیریها محافظت کند. آسیبپذیریهای یک برنامه وب را، هم با تست نفوذ و هم با برنامههای اسکن خودکار آسیبپذیری میتوان کشف کرد.[نیازمند منبع]
Samate، اسکنر امنیتی برنامههای وب را اینگونه توصیف میکند: «یک برنامه خودکار که برنامههای وب را تحت بررسی قرار میدهد تا آسیب پذیریهای امنیتی بالقوه آن را کشف کند، علاوه بر جستجو برای آسیب پذیری، این ابزارها به دنبال خطاهای کدنویسی نیز هستند».[۱۰]
فایروال وب یک راه حل کامل برای امنیت نیست بلکه باید آن را در کنار دیگر راه حلهای امنیتی مثل فایروال شبکه، یا سامانههای جلوگیری از نفوذ به کار برد تا یک سامانه کامل دفاعی و چندلایه به دست آید. فایروالهای وب با استفاده از ترکیبی از قانونها و فیلترهای منطقی و تحلیل امضاها و تجزیه برای شناسایی حملات اقدام میکنند. حملاتی از جمله تزریق اسکیوال یا تزریق اسکریپت از طریق وبگاه.
اواسپ فهرستی از ۱۰ نقص امنیتی مهم و رایج را اعلام کردهاست. تمامی فایروالهای وب تجاری طوری طراحی میشوند که حداقل این فهرست ۱۰ نقص امنیتی اعلام شده توسط اواسپ را در بر بگیرند.
فایروالهای وب غیرتجاری نیز وجود دارند که همانطور که گفته شد یک مورد معروف و متن باز آن مودسکیوریتی است.
جستارهای وابسته[ویرایش]
منابع[ویرایش]
- ↑ «Web Application Firewall». TechTarget.
- ↑ «اسلاید درس امنیت داده و شبکه دانشگاه صنعتی شریف» (PDF). ۱۳۹۹.[پیوند مرده]
- ↑ «Web application firewall». Wikipedia.
- ↑ «Perfecto Technologies Delivers AppShield for E-Business - InternetNews». www.internetnews.com. ۲۰۱۶-۰۹-۲۰.
- ↑ «ModSecurity homepage». ModSecurity.
- ↑ «What is OWASP? Guide to the OWASP Application Security Top 10».
- ↑ «Web Application Firewall Market Worth $5.48 Billion by 2022». بایگانیشده از اصلی در ۱۱ آوریل ۲۰۱۸. دریافتشده در ۱۰ آوریل ۲۰۱۸.
- ↑ Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber. «OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5». OWASP.
- ↑ «Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2» (PDF). PCI DSS.
- ↑ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. «NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0» (PDF). SAMATE NIST.