در حال کنونی بیش از ۷۰ درصد حملات اینترنتی از طریق بستر وب صورت میگیرد، برنامههای کاربردی تحت وب به عنوان بزرگترین هدف مهاجمین جهت نفوذ به زیرساختهای اطلاعاتی سازمانها تبدیل شدهاند. با توجه به رشد روزافزون حملات تحت وب و عدم کارایی سیستمهای تشخیص و جلوگیری از نفوذ محصول جدیدی در عرصه امنیت اطلاعات و ارتباطات با عنوان «فایروال برنامههای کاربردی تحت وب» (Web Application Firewall) به منظور مقابله با این حملات توسعه یافته است.
web application firewall(WAF)یک نرم افزار؛سخت افزار و یا مجموعه ای از قوانین پیاده سازی شده بر روی پروتکل ارتباطی HTTP می باشد. به طور کلی این قوانین جهت جلوگیری از حملات معمول هکر ها به وب سایت ها مثل cross-site scripting (XSS)و یا SQL injection و … می باشد.
با ایجاد چنین قوانینی بر ارتباطات HTTP می توان بسیاری از حملات هکرها را تشخص و مهار کرد و ترافیک را اعتبارسنجی کرد؛ نقش WAF در جلوگیری از حملات Zero Day ( ناشناخته و پتچ نشده) بر روی اسکریپت های تحت وب غیر قابل انکار است!
WAF را به شکلهای مختلف میتوان به اجرا درآورد؛ نوع اول به صورت یک ماژول قابل اضافه شدن به برنامه های موجود در Application Server است، نوع دوم به عنوان یک برنامه مجزا بر روی Application Server اجرا میشود و در نوع سوم به عنوان یک سیستم مستقل بر روی سخت افزار مجزا از سامانه اینترنتی نصب و راه اندازی میشود.
اخیراً سازمانها و مؤسسات مختلفی در زمینه امنیت برنامههای کاربردی بهصورت تخصصی، فعالیت مینمایند که بخشی از این فعالیتها منجر به تولید فایروالهای لایه برنامه کاربردی شده است.
یکی دیگر از فعالیتهای این سازمانها، دستهبندی و گروهبندی حملات یا آسیبپذیریهای برنامههای کاربردی تحت وب است که این امر، منجر به توسعه دانش شده و از طرفی، کمک بسزایی در تولید محصولات امنیتی نموده است. انجمن OWASP و WASC و SANS از جمله سازمانهایی هستند که در این زمینه، دستهبندیهایی را ارائه نمودهاند. تهدیدات ارائه شده در مستندات WASC بسیار کامل و جامع است و از طرف دیگر تهدیدات ارائه شده در گزارشات سالیانه OWASP نیز بسیار مورد ارجاع قرار گرفته و محبوبیت بیشتری دارند.
انواع حملات قابل تشخیص
در مدل امنیتی WAF یکسری حملات لایه ۷ از جمله حملات زیر قابل تشخیص و مهار هستند:
Protection against common attacks
SQL Injection
Cross Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Session Hijacking
Buffer Overflow
OS command injection
Information leakage
Denial of Service (DoS)
Malicious Robots
Parameter Tampering
Malicious and Illegal Encoding
Directory Traversal
Web Server and OS Attacks
Site Reconnaissance
Remote File Inclusion (RFI)