Русская Википедия:Файрвол веб-приложений

Файрвол веб-приложений Шаблон:L6e — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI^[1].

Веб-приложение может быть защищено силами разработчиков самого приложения без использования WAF. Это требует дополнительных расходов при разработке. Например, содержание отдела информационной безопасности. WAF вобрали в себя возможность защиты от всех известных информационных атак, что позволяет делегировать ему функцию защиты. Это позволяет разработчикам сосредоточиться на реализации бизнес-логики приложения, давая больше времени на закрытие уязвимостей ^[2].

Описание

Файрвол веб-приложений используется как наложенное средство защиты. Это значит, что он располагается перед основным веб-приложением и анализирует входящий и исходящий трафик. В режиме реального времени он принимает решение о предоставлении либо отклонении доступа^[1].

В WAF могут поддерживаться любые модели безопасности: позитивные, негативные или их комбинации. К современным WAF предъявляются требования, описанные в PCI DSS. Так же они инспектируют запросы и ответы HTTP/HTTPS протокола передачи данных в соответствии с политикой безопасности^[3]. Кроме того, открытый проект OWASP собирает данные о компрометациях со всего мира и формирует рейтинг векторов атак на веб-приложения — OWASP Top Ten^[4]. WAF проектируются так, чтобы успешно реагировать на угрозы описанные в этом рейтинге^[3].

Стоит отметить, что WAF не являются абсолютным средством защиты информации. Обычно они включаются в общую систему безопасности веб-приложения в сочетании с другими элементами, например, с элементами, решающими проблемы протоколов отличных от HTTP/HTTPS, системами контроля инцидентов, сервисами противодействия мошенничеству^[5].

Векторы атак

Инъекции

Основным вектором успешных атак уже продолжительное время остаются SQL-инъекции^[6]. Для работы с различными данными — удаление, изменение, добавление приложение использует базу данных. При обращении к базе данных, приложение составляет текст запроса, который может быть подменён злоумышленником^[7]. В результате, например, может произойти утечка, удаление или запись данных. Для защиты тщательно проверяются данные полученные от пользователя, используются чёрные или белые списки последовательностей символов, экранируется текст запроса^[8].

Использование уязвимостей хранения сессий

Для различения пользователей при авторизации пользователя на сайте ему ставится сессионный куки или выдаётся токен авторизации, который браузер сохраняет и каждый раз отправляет на сервер, для подтверждения того, что это нужный пользователь. Этот ключ может быть получен злоумышленником и использован для доступа к аккаунту^[9]. Для защиты вместе с ключом проверяется сопутствующая информация такая как, IP адрес, браузер. Так же ключу сессии ставят относительно недолгий срок жизни^[10].

XSS (Межсайтовое выполнение сценариев)

Этот вид атак заключается в том, что злоумышленник передаёт Java-Script или Html код в браузер пользователя, где этот код исполняется^[7]. Таким образом злоумышленник может получить куки или данные вводимые на форме заражённой страницы. Для защиты экранируются входные и выходные данные. Используются регулярные выражения для валидации полей^[11].

Незащищённость конфиденциальных данных

Этот вид атак предназначен для кражи конфиденциальных данных. Чаще всего это происходит в момент их передачи от клиента на сервер по незащищённому протоколу HTTP или FTP. На пути к серверу, на каком-то узле, получив к нему доступ, злоумышленник может прочитать открытый, незащищённый запрос с конфиденциальной информацией пользователя^[12]. Для передачи подобной информации используют защищённые протоколы передачи HTTPS, TLS. Помимо этого, если есть необходимость хранить такие данные, то хранятся они в зашифрованном виде^[12].

Использование уязвимостей контроля доступа

Уязвимости контроля доступа связаны недостаточной тщательностью проверки прав доступа к тем или иным данным. При наличии одних прав, злоумышленник может получить доступ к данным, которые для данных прав закрыты^[13].

Например, если злоумышленник имеет id равный 1 и может видеть список своих сообщений по ссылке

mysite.com/messages?id=1

то при недостаточной проверке прав, заменив значение id на 2

mysite.com/messages?id=2

сервер выдаст сообщения пользователя с id = 2. В качестве защиты для проверки доступа используют белые списки. Хотя некоторые WAF берут на себя подобные функции проверки, но преимущественно, эти действия выполняются на сервере^[14].

Использование внешних XML-сущностей

В отчёте OWASP за 2017 год в топ возможных рисков для веб-приложений попал такой вектор атак как XML External Entities (XXE)^[15]. Возможность таких атак возникает, когда приложение предоставляет возможность пользователю для передачи данных использовать документы XML, содержимое которых анализируется плохо настроенным парсером. В результате злоумышленник может передать в XML ссылку на внешнюю сущность, что может привести к потере данных, либо к другим нежелательным воздействиям на сервер^[16]^[17]. Для защиты используется тщательно настроенный сериализатор XML либо он заменяется на другой, например, JSON. Или отключается поддержка внешних сущностей XML^[18].

Атаки методом перебора

Атаки методом перебора - тип атаки на веб-приложение, при котором атакующий перебором значений (учетных записей, паролей, сессионных данных) пытается получить доступ к веб-приложению либо данным.

Например, перебирая значение параметра password, атакующий по коду ответа может определить успешную авторизацию^[19]:

GET /vulnerabilities/brute/?username=admin&password=123456&Login=Login

Следует отметить, что некоторым стандартным атакам можно противостоять, включая соответствующие заголовки и флаги, встроенные во все современные браузеры. Например, заголовок X-XSS-Protection или флаг HTTPonly у заголовка Set-Cookie^[20]^[21].

Методы защиты

Сигнатурный анализ

WAF активно используют сигнатурный анализ для фильтрации трафика. Сигнатурный метод в своей реализации использует словарь вредоносного трафика для сравнения^[22]. Если в пришедшем трафике нашлась часть запроса(сигнатура), которая соответствует вредоносному трафику, то WAF блокируют этот запрос. Пример сигнатур^[23].

Репутационный фильтр IP адресов

Метод основан на белых и чёрных списках IP адресов и доменов. Ссылаясь на эти списки, WAF оценивают входящие запросы^[2].

Некоторые популярные блок-листы:

Поведенческий анализ

Поведенческий анализ строится на машинном обучении. Это позволяет обнаружить аномалии в поведении на глубоких уровнях понимания. Такой механизм может обучаться как с учителем так и без учителя на идентификаторах доступа. Входящими параметрами могут служить идентификаторы доступа такие как HTTP-параметры, идентификатор ресурса (URL, URN), идентификатор сессии^[1]. Таким образом выделяется эталонная математическая модель допустимых идентификаторов доступа. При несовпадении с этой моделью очередной запрос будет заблокирован^[5]. Это позволяет отражать как известные атаки, так и атаки нулевого дня^[2].

Дополнительные возможности

Защита от DoS-атак

Кроме защиты информации, WAF могут предоставлять функции по её доступности, борясь с DoS-атаками. При обнаружении атаки ограничиваются или блокируются пользователи, которые участвуют в нагрузке трафика. Так же WAF могут внедрить капчу в ответ сервера, тем самым отсекая автоматические запросы и допуская реальных пользователей^[5].

Сканеры уязвимостей

WAF в комплекте могут иметь собственный сканер уязвимостей. Сканер обращает внимание разработчиков приложения на недочёты, которые впоследствии могут быть исправлены, либо ответственность за них может быть делегирована WAF. В ходе такого анализа сканер может генерировать запросы с конкретными значениями параметров, которые позволят эксплуатировать найденную уязвимость. Зная слабые места веб-приложения WAF генерируют виртуальные патчи, которые закрывают такие места^[24].

Виды поставок

WAF предоставляют несколько видов поставок.

Одна из них — это поставка в виде виртуальной машины. В этом случае, заказчик выделяет виртуальную инфраструктуру, в которой происходит развёртывание виртуальной машины WAF.
Другой вариант поставки возможен в виде программно-аппаратного комплекса. Когда поставщик устанавливает физический сервер WAF на стороне клиента.
Так же WAF могут быть поставлены в виде облачного сервиса. Облачный сервис может иметь как публичный, так и приватный тип.

В любом из этих случаев WAF могут быть развёрнуты в одном из вариантов: прозрачный мост, прозрачный или обратный прокси сервер^[25].

Рынок

С увеличением количества веб-приложений в сети Интернет растёт потребность в их квалифицированной защите^[26]. Это является фактором развития компаний в данном направлении. Многие компании участвуют в развитии отрасли. Проводят открытую аналитику рынка, технологий и угроз. Поскольку за время развития веб-защиты выработаны принципы и стандарты безопасности, то WAF продукты от различных компаний схожи по своей функциональности и отличаются лишь графической оболочкой^[3].

Наиболее популярные решения:

Валарм WAF
Alibaba Cloud
Akamai Technologies Kona
Amazon Web Services AWS WAF
Barracuda Networks WAF
BI.ZONE WAF
Citrix Netscaler Application Firewall
Cloudbric
Cloudflare
F5 Big-IP ASM
Fortinet FortiWeb
Imperva SecureSphere
Nemesida WAF / Nemesida WAF Free
Penta Security WAPPLES
PT Application Firewall
Radware AppWall

WAF с открытым исходным кодом:

ModSecurity

Примечания

Шаблон:Примечания

[:4-1] 1,0 ^1,1 ^1,2 Шаблон:Cite web

[:6-2] 2,0 ^2,1 ^2,2 Шаблон:Cite web

[:2-3] 3,0 ^3,1 ^3,2 Шаблон:Cite web

[4] Шаблон:Cite web

[:0-5] 5,0 ^5,1 ^5,2 Шаблон:Cite web

[6] Шаблон:Статья

[:3-7] 7,0 ^7,1 Шаблон:Книга

[8] Шаблон:Cite web

[9] Шаблон:Статья

[10] Шаблон:Cite web

[11] Шаблон:Cite web

[:5-12] 12,0 ^12,1 Шаблон:Cite web

[13] Шаблон:Cite web

[14] Шаблон:Cite web

[15] Шаблон:Cite web

[16] Шаблон:Книга

[17] Шаблон:Cite web

[18] Шаблон:Cite web

[19] Шаблон:Cite web

[20] Шаблон:Cite web

[21] Шаблон:Cite web

[22] Шаблон:Книга

[23] Шаблон:Cite web

[24] Шаблон:Cite web

[:1-25] Шаблон:Cite web

[26] Шаблон:Cite web

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.