دیوار آتش برنامه‌های وب

دیواره آتش برنامه‌های تحت وب (به انگلیسی: Web application firewall) یک حالت خاص از دیواره آتش لایه کاربرد است که بر روی وب کار می‌کند و می‌تواند ترافیک پروتکل انتقال ابرمتن ورودی و خروجی یک برنامه کاربردی وب را فیلتر، نظارت یا مسدود کند. فایروال وب با بررسی ترافیک HTTP می‌تواند از حملات بر روی برنامه‌های وب جلوگیری کند.^[۱] حملاتی از جمله تزریق اس‌کیوال، تزریق اسکریپت از طریق وبگاه، درج فایل یا تغییر تنظیمات سیستمی.^[۲]

تاریخچه[ویرایش]

فایروال‌های وب در اواخر دهه ۱۹۹۰ زمانی که حملات به سرورهای وب افزایش یافته بود، وارد بازار شدند.^[۳]

اولین محصول از فایروال وب توسط شرکت پرفکتو تکنولوجیز با نام اپ‌شیلد توسعه پیدا کرد که بیشترین تمرکز آن بر روی بازار تجارت الکترونیک بود.^[۴]

در سال ۲۰۰۲، یک پروژه متن‌باز به نام مودسکیوریتی ایجاد شد تا فناوری فایروال وب را بیشتر در دسترس قرار دهد. این پروژه از یک سری قانون و فیلترهای اولیه برخوردار بود که از برنامه‌های وب حفاظت می‌کرد و اساس کار آن بر اساس خط مشی اواسپ بود.^[۵]

در سال ۲۰۰۳، این پروژه قانون‌ها و فیلترهای خود را گسترش داد تا خود را با فهرست ۱۰ استاندارد برتر اواسپ، که یک رتبه‌بندی از بیشترین آسیب‌پذیری‌ها را ارائه می‌کند، هماهنگ کند.^[۶]

بر اساس مجله CISO انتظار می‌رود که بازار فایروال‌های وب تا سال ۲۰۲۲، ۵٫۴۸ میلیارد دلار رشد کند.^[۷]

مشخصات[ویرایش]

فایروال وب نوع خاصی از فایروال است که به‌طور خاصی برای برنامه‌های وب پیاده‌سازی می‌شود. این سامانه در بیرون از مسیر برنامه‌های وب قرار می‌گیرد و ترافیک وب ورودی و خروجی را بررسی می‌کند و هر چیز مخربی را شناسایی و مسدود می‌کند. اواسپ، یک تعریف فنی برای فایروال وب ارائه می‌کند: «یک راه حل امنیتی در سطح برنامه‌های وب که از نظر فنی مستقل از خود برنامهٔ وب است».^[۸]

PCI DSS 6.6 فایروال وب را اینگونه توصیف می‌کند: «فایروال وب سامانه‌ای برای اجرای سیاست امنیتی بین برنامهٔ وب و مشتری است که می‌تواند هم به صورت نرم‌افزاری و هم به‌صورت سخت‌افزاری پیاده‌سازی شود».^[۹]

این سامانه می‌تواند هم در سطح دستگاه‌های خانگی و هم در سطح سرورها پیاده‌سازی شود. فایروال وب می‌تواند هم به صورت یک سامانه مستقل و هم در تجمیع با دیگر سامانه‌های شبکه پیاده‌سازی شود. به عبارت دیگر یک فایروال وب می‌تواند هم به صورت فیزیکی و هم به صورت مجازی پیاده‌سازی شود تا در مقابل تهدیدات خارجی از آسیب‌پذیری‌ها محافظت کند. آسیب‌پذیری‌های یک برنامه وب را، هم با تست نفوذ و هم با برنامه‌های اسکن خودکار آسیب‌پذیری می‌توان کشف کرد.^{^{[نیازمند منبع]}}

Samate، اسکنر امنیتی برنامه‌های وب را اینگونه توصیف می‌کند: «یک برنامه خودکار که برنامه‌های وب را تحت بررسی قرار می‌دهد تا آسیب پذیری‌های امنیتی بالقوه آن را کشف کند، علاوه بر جستجو برای آسیب پذیری، این ابزارها به دنبال خطاهای کدنویسی نیز هستند».^[۱۰]

فایروال وب یک راه حل کامل برای امنیت نیست بلکه باید آن را در کنار دیگر راه حل‌های امنیتی مثل فایروال شبکه، یا سامانه‌های جلوگیری از نفوذ به کار برد تا یک سامانه کامل دفاعی و چندلایه به دست آید. فایروال‌های وب با استفاده از ترکیبی از قانون‌ها و فیلترهای منطقی و تحلیل امضاها و تجزیه برای شناسایی حملات اقدام می‌کنند. حملاتی از جمله تزریق اس‌کیوال یا تزریق اسکریپت از طریق وبگاه.

اواسپ فهرستی از ۱۰ نقص امنیتی مهم و رایج را اعلام کرده‌است. تمامی فایروال‌های وب تجاری طوری طراحی می‌شوند که حداقل این فهرست ۱۰ نقص امنیتی اعلام شده توسط اواسپ را در بر بگیرند.

فایروال‌های وب غیرتجاری نیز وجود دارند که همان‌طور که گفته شد یک مورد معروف و متن باز آن مودسکیوریتی است.

جستارهای وابسته[ویرایش]

منابع[ویرایش]

↑ «Web Application Firewall». TechTarget.
↑ «اسلاید درس امنیت داده و شبکه دانشگاه صنعتی شریف» (PDF). ۱۳۹۹.^{^{[پیوند مرده]}}
↑ «Web application firewall». Wikipedia.
↑ «Perfecto Technologies Delivers AppShield for E-Business - InternetNews». www.internetnews.com. ۲۰۱۶-۰۹-۲۰.
↑ «ModSecurity homepage». ModSecurity.
↑ «What is OWASP? Guide to the OWASP Application Security Top 10».
↑ «Web Application Firewall Market Worth $5.48 Billion by 2022». بایگانی‌شده از اصلی در ۱۱ آوریل ۲۰۱۸. دریافت‌شده در ۱۰ آوریل ۲۰۱۸.
↑ Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber. «OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5». OWASP.
↑ «Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2» (PDF). PCI DSS.
↑ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. «NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0» (PDF). SAMATE NIST.

[1] «Web Application Firewall». TechTarget.

[2] «اسلاید درس امنیت داده و شبکه دانشگاه صنعتی شریف» (PDF). ۱۳۹۹.^{^{[پیوند مرده]}}

[3] «Web application firewall». Wikipedia.

[4] «Perfecto Technologies Delivers AppShield for E-Business - InternetNews». www.internetnews.com. ۲۰۱۶-۰۹-۲۰.

[5] «ModSecurity homepage». ModSecurity.

[6] «What is OWASP? Guide to the OWASP Application Security Top 10».

[7] «Web Application Firewall Market Worth $5.48 Billion by 2022». بایگانی‌شده از اصلی در ۱۱ آوریل ۲۰۱۸. دریافت‌شده در ۱۰ آوریل ۲۰۱۸.

[8] Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber. «OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5». OWASP.

[9] «Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2» (PDF). PCI DSS.

[10] Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. «NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0» (PDF). SAMATE NIST.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]