مقاله فایروال های برنامه های تحت وب (WAF)

فصل اول مقدمه. 1

1-1 مقدمه. 2

1-2 مقدمه ای بر Firewall 2

1-3 انواع فایروال.. 4

1-4 موقعیت یابی برای فایروال.. 6

1-5 ویژگی ها و معایب IPSها 8

1-6 بررسی عوامل نیاز ما به WAF. 9

1-7 معرفی فایروال های مجهز و مدرن (SMARTWAF) 10

1-7-1 عملکرد SmartWAF. 11

1-7-2 مدیریت SmartWAF. 11

1-8 معیار ارزیابی برنامه فایروال.. 12

1-8-1 WAFEC1.0 (عرضه شده) 12

1-8-2 WAFEC2.0 (در دست اقدام) 13

فصل دوم: فایروال های برنامه های تحت وب.. 14

2-1 مقدمه. 15

2-2 تعریف واژه WAF- فایروال برنامه های تحت وب.. 15

2-3 ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها 16

2-3-1 جنبه های سطح عالی در درون سازمان.. 16

2-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی.. 17

2-4 مروری بر ویژگی های فایروال برنامه کاربردی وب (WAF) 18

2-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند؟. 18

2-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص... 20

2-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب.. 24

2-5-1 مزیت اصلی WAFها 24

2-5-2 مزایای اضافی WAFها (وابسته به عملکرد واقعی محصولات) 25

2-6 امنیت در مقابل OWASP TOP10 - مقایسه WAFها و روش های دیگر. 26

2-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF. 34

2-7-1 معیارهای گسترده سازمانی.. 34

2-7-2 ضوابط مربوط به یک برنامه تحت وب.. 34

2-7-3 ارزیابی.. 35

2-7-4 در نظر گرفتن جنبه های مالی.. 37

2-8 بهترین شیوه برای معرفی و عملکرد WAF. 38

2-8-1 جنبه های موجود در زیرساخت های وب.. 38

2-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی -تغییرات قابل پیش بینی.. 38

2-8-1-2 معیار کارایی.. 39

2-8-2 جنبه های سازمانی.. 39

2-8-2-1 منطبق با سیاست های امنیتی موجود. 39

2-8-2-2 مدیر برنامه های تحت وب.. 39

2-8-3 روال های تکراری پیاده سازی (از امنیت اولیه تا حفاظت کامل) 40

فصل سوم: اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب.. 42

3-1 ﻣﻘﺪﻣﻪ 43

3-2 روﻳﻜﺮد 43

3-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی 45

3-3-1 ﺳﻄﺢ 1- وارﺳﻲ ﺧﻮدﻛﺎر 46

3-3-1-1 ﺳﻄﺢ ‪1A- ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 48

3-3-1-2 ﺳﻄﺢ‪ 1B- ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 49

3-3-2 ﺳﻄﺢ 2- وارﺳﻲ دﺳﺘﻲ 49

3-3-2-1 ﺳﻄﺢ ‪ 2A- ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی).. 54

3-3-3 ﺳﻄﺢ 3 – وارﺳﻲ ﻃﺮاﺣﻲ 54

3-3-4 ﺳﻄﺢ 4 – وارﺳﻲ داﺧﻠﻲ 57

3-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ 61

3-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ 64

3-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ 67

3-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ 69

3-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ 70

3-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری 71

3-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ 72

3-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ 74

3-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت 75

3-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ HTTP.. 76

3-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ 77

3-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب 78

3-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ 78

3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ 79

فصل چهارم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection. 81

4-1 ﻣﻘﺪﻣﻪ 82

4-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ SQL.. 82

4-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ 83

4-4 ﻋﻮاﻣﻞ ﺧﻄﺮ 85

4-5 ازﻣﻮن ﺗﺰرﻳﻖ SQL .. 90

4-5-1 ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL اﺳﺘﺎﻧﺪارد.. 93

4-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه 99

4-7 ﺗﺰرﻳﻖ‪ SQL ﻛﻮر.. 101

4-8 اﻧﮕﺸﺖ ﻧﮕﺎری از RDBMS .. 103

4-9 ﺣﻤﻠﻪی Timing .. 103

4-10 روش‌های مقابله با حملات SQL Injection. 104

فصل پنجم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS. 106

5-1 ﻣﻘﺪﻣﻪ 107

5-2 تشریح حملات XSS. 108

5-3 روشﻫﺎی امنیتی.. 109

5-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری 109

5-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ 110

5-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی ‪ HTML و ﻓﻴﻠﺘﺮﻫﺎ.. 112

5-3-4 روﻳﻜﺮد Exclusion.. ...  118

5-4 راه های مقابله با حملات XSS. 122

5-5 بهره برداری.. 125

فصل ششم: مدیریت نشست... 128

6-1 مقدمه. 129

6-2 ملاحظات امنیتی و اقدامات متقابل.. 129

6-3 به کارگیری رمزنگاری در تمامی مبادلات.. 129

6-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی.. 131

6-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly. 132

6-4 تنها ذخیره شناسه نشست درسمت کلاینت... 133

6-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET. 133

6-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست... 134

6-7 انقضای نشست در صورت عدم فعالیت... 135

6-8 شناسه نشست را قابل مشاهده قرار ندهید. 136

6-9 انتخاب شناسه نشست مناسب... 136

6-10 جلوگیری از اسیب پذیری XSS. 137

6-11 اجبار در ایجاد شناسه نشست سمت سرور. 138

فصل هفتم: نتیجه گیری و ارزیابی.. 139

7-1 نتیجه گیری و ارزیابی.. 140

فهرست منابع.. 143