वेब अनुप्रयोग फ़ायरवॉल

एक वेब अनुप्रयोग फ़ायरवॉल (वेब एप्लिकेशन फ़ायरवॉल) आवेदन फ़ायरवॉल का एक विशिष्ट रूप है जो एक वेब एप्लिकेशन से और हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल प्रसार यातायात को फ़िल्टर, मॉनिटर और ब्लॉक करता है।हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक का निरीक्षण करके, यह वेब एप्लिकेशन की ज्ञात कमजोरियों, जैसे कि संरचित क्वेरी भाषा इंजेक्शन, क्रॉस साइट स्क्रिप्टिंग (XSS), फ़ाइल समावेशन भेद्यता और अनुपयुक्त सिस्टम कॉन्फ़िगरेशन जैसे हमलों को रोक सकता है।^[1]

इतिहास

समर्पित वेब एप्लिकेशन फ़ायरवॉल ने 1990 के दशक के उत्तरार्ध में एक ऐसे समय में बाजार में प्रवेश किया जब वेब सर्वर हैकर अधिक प्रचलित हो रहा था।

वेब एप्लिकेशन फ़ायरवॉल का एक प्रारंभिक संस्करण अपने AppShield उत्पाद के साथ परफेक्टो टेक्नोलॉजीज द्वारा विकसित किया गया था,^[2] जो ई-कॉमर्स बाजार पर केंद्रित था और अवैध वेब पेज चरित्र प्रविष्टियों के खिलाफ संरक्षित था।कावाडो और गिलियन टेक्नोलॉजीज के अन्य प्रारम्भिक वेब एप्लिकेशन फ़ायरवॉल उत्पाद, एक ही समय में बाजार में उपलब्ध थे, 90 के दशक के अंत में वेब अनुप्रयोगों पर हमलों की बढ़ती मात्रा को हल करने की कोशिश कर रहे थे।2002 में, ओपन सोर्स प्रोजेक्ट मोडसिटी^[3] वेब एप्लिकेशन फ़ायरवॉल तकनीक को अधिक सुलभ बनाने के लिए गठित किया गया था।उन्होंने ओएसआईएस वेब एप्लिकेशन सुरक्षा तकनीकी समिति (टीसी) भेद्यता कार्य के आधार पर वेब अनुप्रयोगों की सुरक्षा के लिए एक मुख्य नियम को अंतिम रूप दिया।2003 में, उन्होंने वेब अनुप्रयोग सुरक्षा परियोजना खोलें (मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट) टॉप 10 लिस्ट के माध्यम से नियमों का विस्तार और मानकीकृत किया, जो वेब सुरक्षा कमजोरियों के लिए एक वार्षिक रैंकिंग है।यह सूची वेब एप्लिकेशन सुरक्षा अनुपालन के लिए उद्योग मानक बन जाएगी।^[4]^[5] तब से, बाजार बढ़ता रहा और विकसित होता रहा है, विशेष रूप से क्रेडिट कार्ड धोखाधड़ी की रोकथाम पर ध्यान केंद्रित कर रहा है।भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) के विकास के साथ, कार्डधारक डेटा पर नियंत्रण का एक मानकीकरण, सुरक्षा इस क्षेत्र में अधिक विनियमित हो गई है।CISO मैगज़ीन के अनुसार, 2022 तक वेब एप्लिकेशन फ़ायरवॉल बाजार बढ़ने की उम्मीद थी।^[6].^[7]

विवरण

एक वेब एप्लिकेशन फ़ायरवॉल एक विशेष प्रकार का एप्लिकेशन फ़ायरवॉल है जो विशेष रूप से वेब एप्लिकेशन पर लागू होता है।यह वेब एप्लिकेशन के सामने परिनियोजित है और द्वि-दिशात्मक वेब-आधारित (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल) ट्रैफ़िक का विश्लेषण करता है-कुछ भी दुर्भावनापूर्ण का पता लगाने और अवरुद्ध करता है।मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट एक वेब एप्लिकेशन फ़ायरवॉल के लिए एक व्यापक तकनीकी परिभाषा "वेब एप्लिकेशन स्तर पर एक सुरक्षा समाधान के रूप में प्रदान करता है - जो कि तकनीकी दृष्टिकोण से - एप्लिकेशन पर निर्भर नहीं करता है।"^[8] आवश्यकता 6.6 के लिए पेरिफ़ेरल कंपोनेंट इंटरकनेक्ट (पीसीएल) निर्णय समर्थन प्रणाली सूचना पूरक के अनुसार, एक वेब एप्लिकेशन फ़ायरवॉल को "एक वेब एप्लिकेशन और क्लाइंट एंडपॉइंट के बीच परिनियोजित एक सुरक्षा नीति प्रवर्तन बिंदु" के रूप में परिभाषित किया गया है।इस कार्यक्षमता को सॉफ्टवेयर या हार्डवेयर में लागू किया जा सकता है, एक उपकरण डिवाइस में, या एक सामान्य ऑपरेटिंग सिस्टम चलाने वाले एक विशिष्ट सर्वर में।यह एक स्टैंड-अलोन डिवाइस हो सकता है या अन्य नेटवर्क घटकों में एकीकृत हो सकता है। ”^[9] दूसरे शब्दों में, एक वेब एप्लिकेशन फ़ायरवॉल एक आभासी या भौतिक उपकरण हो सकता है जो वेब अनुप्रयोगों में कमजोरियों को बाहरी खतरों द्वारा शोषण करने से रोकता है।ये कमजोरियां हो सकती हैं क्योंकि एप्लिकेशन स्वयं एक विरासत प्रकार है या इसे डिजाइन द्वारा अपर्याप्त रूप से कोडित किया गया था।वेब एप्लिकेशन फ़ायरवॉल इन कोड कमियों को नियम-सेट के विशेष कॉन्फ़िगरेशन द्वारा संबोधित करता है, जिसे नीतियों के रूप में भी जाना जाता है।

पहले अज्ञात कमजोरियों को पैठ परीक्षण के माध्यम से या एक भेद्यता स्कैनर के माध्यम से खोजा जा सकता है।एक वेब अनुप्रयोग सुरक्षा स्कैनर, जिसे वेब एप्लिकेशन सिक्योरिटी स्कैनर के रूप में भी जाना जाता है, को SAMATE NIST 500-269 में "एक स्वचालित कार्यक्रम के रूप में परिभाषित किया गया है जो संभावित सुरक्षा कमजोरियों के लिए वेब अनुप्रयोगों की जांच करता है।वेब एप्लिकेशन-विशिष्ट कमजोरियों की खोज करने के अतिरिक्त, टूल भी सॉफ्टवेयर कोडिंग त्रुटियों की तलाश करते हैं। ”^[10] कमजोरियों को हल करना सामान्य रूप से उपचारात्मक के रूप में जाना जाता है।कोड में सुधार एप्लिकेशन में किया जा सकता है लेकिन सामान्य रूप से एक अधिक त्वरित प्रतिक्रिया आवश्यक है।इन स्थितियों में, एक अस्थायी लेकिन तत्काल फिक्स (वर्चुअल पैच के रूप में जाना जाता है) प्रदान करने के लिए एक अद्वितीय वेब एप्लिकेशन भेद्यता के लिए एक कस्टम नीति का अनुप्रयोग आवश्यक हो सकता है।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम एक अंतिम सुरक्षा समाधान नहीं है, बल्कि वे एक समग्र रक्षा रणनीति प्रदान करने के लिए नेटवर्क फ़ायरवॉल और आक्षेप रोकथाम प्रणालियों जैसे अन्य नेटवर्क परिधि सुरक्षा समाधानों के साथ संयोजन में उपयोग किए जाते हैं।

वेब एप्लिकेशन फ़ायरवॉल सिस्टम सामान्य रूप से एक सकारात्मक सुरक्षा मॉडल, एक नकारात्मक सुरक्षा, या SANS संस्थान द्वारा उल्लिखित दोनों के संयोजन का पालन करता है।^[11] वेब एप्लिकेशन फ़ायरवॉल सिस्टम क्रॉस-साइट स्क्रिप्टिंग और संरचित क्वेरी भाषा इंजेक्शन जैसे हमलों का पता लगाने और रोकने के लिए नियम-आधारित तर्क, पदच्छेद और हस्ताक्षर के संयोजन का उपयोग करता है। सामान्य रूप से, ब्राउज़र इम्यूलेशन, ऑबफ्यूसेशन और वर्चुअलाइजेशन के साथ -साथ आईपी ऑबफ्यूसेशन जैसी सुविधाओं का उपयोग वेब एप्लिकेशन फ़ायरवॉल को बायपास करने के लिए किया जाता है।^[12] मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट शीर्ष दस वेब एप्लिकेशन सुरक्षा खामियों की एक सूची तैयार करता है।सभी वाणिज्यिक वेब एप्लिकेशन फ़ायरवॉल प्रसाद कम से कम इन दस दोषों को कवर करते हैं।गैर-वाणिज्यिक विकल्प भी हैं।जैसा कि पहले उल्लेख किया गया है, प्रसिद्ध ओपन सोर्स वेब एप्लिकेशन फ़ायरवॉल इंजन जिसे मोडक्युरिटी कहा जाता है, इन विकल्पों में से एक है।एक वेब एप्लिकेशन फ़ायरवॉल इंजन अकेले पर्याप्त सुरक्षा प्रदान करने के लिए अपर्याप्त है, इसलिए ट्रस्टवेव के स्पाइडरलैब्स के साथ मुक्त वेब एप्लिकेशन सुरक्षा प्रोजेक्ट, GitHub के माध्यम से एक कोर-नियम को व्यवस्थित करने और बनाए रखने में मदद करता है^[13] Modsecurity वेब एप्लिकेशन फ़ायरवॉल इंजन के साथ उपयोग करने के लिए।^[14]

परिनियोजन विकल्प

यद्यपि ऑपरेटिंग मोड के लिए नाम अलग -अलग हो सकते हैं, वेब एप्लिकेशन फ़ायरवॉलs मूल रूप से तीन अलग -अलग तरीकों से इनलाइन परिनियोजित किए जाते हैं।एनएसएस लैब्स के अनुसार, परिनियोजिती के विकल्प पारदर्शी पुल, पारदर्शी रिवर्स प्रॉक्सी और रिवर्स प्रॉक्सी हैं।^[15] 'ट्रांसपेरेंट' इस तथ्य को संदर्भित करता है कि हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल ट्रैफ़िक को सीधे वेब एप्लिकेशन में भेजा जाता है, इसलिए वेब एप्लिकेशन फ़ायरवॉल क्लाइंट और सर्वर के बीच पारदर्शी है।यह रिवर्स प्रॉक्सी के विपरीत है, जहां वेब एप्लिकेशन फ़ायरवॉल एक प्रॉक्सी के रूप में कार्य करता है और ग्राहक के ट्रैफ़िक को सीधे वेब एप्लिकेशन फ़ायरवॉल को भेजा जाता है।वेब एप्लिकेशन फ़ायरवॉल तब अलग से वेब एप्लिकेशन को फ़िल्टर्ड ट्रैफ़िक भेजता है।यह आईपी मास्किंग जैसे अतिरिक्त लाभ प्रदान कर सकता है, लेकिन प्रदर्शन विलंबता जैसे नुकसान का परिचय दे सकता है।

यह भी देखें

आवेदन फ़ायरवॉल
भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस)
वेब अनुप्रयोग
एक सेवा के रूप में सॉफ्टवेयर (SAAS)
कंप्यूटर सुरक्षा
नेटवर्क सुरक्षा
आवेदन सुरक्षा
वेब अनुप्रयोग सुरक्षा

संदर्भ

↑ "Web Application Firewall". TechTarget. Retrieved 10 April 2018.
↑ "Perfecto Technologies Delivers AppShield for E-Business - InternetNews". www.internetnews.com. 27 August 1999. Retrieved 2016-09-20.
↑ "ModSecurity homepage". ModSecurity.
↑ DuPaul, Neil (25 April 2012). "What is OWASP? Guide to the OWASP Application Security Top 10". Veracode. Retrieved 10 April 2018.
↑ Svartman, Daniel (12 March 2018). "The OWASP Top Ten and Today's Threat Landscape". ITProPortol. Retrieved 10 April 2018.
↑ Harsh (2021-12-26). "Web Application Firewall (WAF) Market CAGR of 19.2% 2021". Firewall Authority (in English). Retrieved 2021-12-26.
↑ "Web Application Firewall Market Worth $5.48 Billion by 2022". CISO Magazine. 5 October 2017. Retrieved 10 April 2018.
↑ Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber (July 7, 2008). "OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5". OWASP (in English). OWASP.
↑ PCI Data Security Standards Council (October 2008). "Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2" (PDF). PCI DSS. PCI DSS.
↑ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher (January 2008). "NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0" (PDF). SAMATE NIST. SAMATE NIST.
↑ Jason Pubal (March 13, 2015). "Web Application Firewalls - Enterprise Techniques" (PDF). SANS Institute. SANS Institute InfoSec Reading Room.
↑ IPM (July 29, 2022). "Reverse Engineering how WAFs Like Cloudflare Identify Bots". IPM Corporation. IPM Corporation.
↑ "Core-Rule Set Project Repository". GitHub. 30 September 2022.
↑ "OWASP ModSecurity Core Rule Set Project". OWASP.
↑ "TEST METHODOLOGY Web Application Firewall 6.2". NSS Labs. NSS Labs. Retrieved 2018-05-03.

[1] "Web Application Firewall". TechTarget. Retrieved 10 April 2018.

[2] "Perfecto Technologies Delivers AppShield for E-Business - InternetNews". www.internetnews.com. 27 August 1999. Retrieved 2016-09-20.

[3] "ModSecurity homepage". ModSecurity.

[4] DuPaul, Neil (25 April 2012). "What is OWASP? Guide to the OWASP Application Security Top 10". Veracode. Retrieved 10 April 2018.

[5] Svartman, Daniel (12 March 2018). "The OWASP Top Ten and Today's Threat Landscape". ITProPortol. Retrieved 10 April 2018.

[6] Harsh (2021-12-26). "Web Application Firewall (WAF) Market CAGR of 19.2% 2021". Firewall Authority (in English). Retrieved 2021-12-26.

[7] "Web Application Firewall Market Worth $5.48 Billion by 2022". CISO Magazine. 5 October 2017. Retrieved 10 April 2018.

[8] Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber (July 7, 2008). "OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5". OWASP (in English). OWASP.

[9] PCI Data Security Standards Council (October 2008). "Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2" (PDF). PCI DSS. PCI DSS.

[10] Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher (January 2008). "NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0" (PDF). SAMATE NIST. SAMATE NIST.

[11] Jason Pubal (March 13, 2015). "Web Application Firewalls - Enterprise Techniques" (PDF). SANS Institute. SANS Institute InfoSec Reading Room.

[12] IPM (July 29, 2022). "Reverse Engineering how WAFs Like Cloudflare Identify Bots". IPM Corporation. IPM Corporation.

[13] "Core-Rule Set Project Repository". GitHub. 30 September 2022.

[14] "OWASP ModSecurity Core Rule Set Project". OWASP.

[15] "TEST METHODOLOGY Web Application Firewall 6.2". NSS Labs. NSS Labs. Retrieved 2018-05-03.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

Anonymous

Search

वेब अनुप्रयोग फ़ायरवॉल

Namespaces

More

Page actions

Contents

इतिहास

विवरण

परिनियोजन विकल्प

यह भी देखें

संदर्भ

Navigation

Navigation

Wiki tools

Wiki tools

Anonymous

Search

वेब अनुप्रयोग फ़ायरवॉल

इतिहास

विवरण

परिनियोजन विकल्प

यह भी देखें

संदर्भ

Navigation

Wiki tools

Page tools

Other projects

Categories