مقاله و تحقیق دانشجویی هــوپــاد رایانه

مرکز دانلود طرح های لایه باز ... پروژه و مقاله کارشناسی و کارشناسی ارشد در تمامی رشته ها

پیشنهاد شگفت انگیز با اطمینان خرید کنید ترجمه مقاله

پــایان نــامه فایروال های برنامه های تحت وب - WAF

پــایان نــامه فایروال های برنامه های تحت وب - WAF

چکیده

تمام برنامه های کاربردی تحت وب که در سال های اخیر رشد بسیاری داشته اند، مورد هدف حمله هکرها واقع شده اند. هکرها از روش-هایی استفاده می کنند که به طور خاص با هدف بهره برداری از نقاط ضعف نرم افزارهای کاربردی تحت وب طراحی می شوند و این حمله ها توسط سیستم های امنیتی سنتی IT مانند فایروال های شبکه یا سیستم های IDS/IPS با دقت کافی قابل تشخیص نیستند. این ابزارها توسط OWASP توسعه داده شده و برای افرادی که در بخش امنیتی برای توسعه و بهره برداری ایمن از یک برنامه کاربردی تحت وب فعالیت می کنند، مناسب می باشند. یکی از این نوع ابزارها، ابزاری به نام Web Application Firewalls است، (که ممکن است با نام های Web Application Shields یا Web Application Security Filters نیز خوانده شود) که برای محافظت در مقابل حمله های صورت گرفته، به ویژه برای برنامه های کاربردی تحت وب مورد استفاده قرار می گیرد.

مقدمه ای بر Firewall

فایروال وسیله­ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می­کند. علاوه بر ان از ان­جایی که معمولا یک فایروال بر سر راه ورودی یک شبکه قرار می­گیرد؛ لذا برای ترجمه ادرس شبکه نیز بکار گرفته می­شود. مشخصه­های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارت است از:

1- توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصه­های بسیار مهم یک فایروال به شمار می­رود و به مدیران شبکه این امکان را می­دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می­تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب، مدیر می­تواند به راحتی به بخش­های مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

2- بازدید حجم بالایی از بسته­های اطلاعات:یکی از تست­های یک فایروال، توانایی ان در بازدید حجم بالایی از بسته­های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده­ای که یک فایروال می­تواند کنترل کند برای شبکه­های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود. عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیت­ها از طرف سرعت پردازنده و بهینه­سازی کد نرم­افزار بر کارایی فایروال تحمیل می­شوند. عامل محدود­کننده دیگر می­تواند کارت­های واسطی باشد که بر روی فایروال نصب می­شوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URLو بررسی وقایع ثبت شده را به نرم­افزارهای دیگر می­سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

3- سادگی پیکربندی:سادگی پیکربندی شامل امکان راه­اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه­ها می­شود به پیکربندی غلط فایروال بر­می­گردد. لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم می­کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاست­های امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.

4- امنیت و افزونگی فایروال:امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است. فایروالی که نتواند امنیت خود را تامین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخش­های شبکه نیز خواهد داد. امنیت در دو بخش از فایروال، تامین­کننده امنیت فایروال و شبکه است:

 

تعداد صفحات 161 word

 

 

فهرست

 

فصل اول مقدمه. 1

1-1مقدمه. 2

1-2 مقدمه ای بر Firewall2

1-3 انواع فایروال.. 4

1-4 موقعیت یابی برای فایروال.. 6

1-5 ویژگی ها و معایب IPSها8

1-6 بررسی عوامل نیاز ما به WAF. 9

1-7 معرفی فایروال های مجهز و مدرن (SMARTWAF)10

1-7-1 عملکرد SmartWAF. 11

1-7-2 مدیریت SmartWAF. 11

1-8 معیار ارزیابی برنامه فایروال.. 12

1-8-1 WAFEC1.0 (عرضه شده)12

1-8-2 WAFEC2.0 (در دست اقدام)13

فصل دوم: فایروال های برنامه های تحت وب.. 14

2-1 مقدمه. 15

2-2 تعریف واژه WAF- فایروال برنامه های تحت وب.. 15

2-3ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها16

2-3-1 جنبه های سطح عالی در درون سازمان.. 16

2-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی.. 17

2-4 مروری بر ویژگی های فایروال برنامه کاربردی وب (WAF)18

2-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند؟. 18

2-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص.... 20

2-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب.. 24

2-5-1 مزیت اصلی WAFها24

2-5-2 مزایای اضافی WAFها (وابسته به عملکرد واقعی محصولات)25

2-6 امنیت در مقابل OWASP TOP10 - مقایسه WAFها و روش های دیگر. 26

2-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF. 34

2-7-1 معیارهای گسترده سازمانی.. 34

2-7-2 ضوابط مربوط به یک برنامه تحت وب.. 34

2-7-3 ارزیابی.. 35

2-7-4 در نظر گرفتن جنبه های مالی.. 37

2-8 بهترین شیوه برای معرفی و عملکرد WAF. 38

2-8-1 جنبه های موجود در زیرساخت های وب.. 38

2-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی -تغییرات قابل پیش بینی.. 38

2-8-1-2 معیار کارایی.. 39

2-8-2 جنبه های سازمانی.. 39

2-8-2-1 منطبق با سیاست های امنیتی موجود. 39

2-8-2-2 مدیر برنامه های تحت وب.. 39

2-8-3 روال های تکراری پیاده سازی (از امنیت اولیه تا حفاظت کامل)40

فصل سوم: اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب.. 42

3-1 ﻣﻘﺪﻣﻪ. 43

3-2 روﻳﻜﺮد. 43

3-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی.. 45

3-3-1 ﺳﻄﺢ 1- وارﺳﻲ ﺧﻮدﻛﺎر. 46

3-3-1-1 ﺳﻄﺢ ‪1A- ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ)48

3-3-1-2 ﺳﻄﺢ‪1B- ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ)49

3-3-2 ﺳﻄﺢ 2- وارﺳﻲ دﺳﺘﻲ.. 49

3-3-2-1 ﺳﻄﺢ ‪ 2A- ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی)54

3-3-3 ﺳﻄﺢ 3 – وارﺳﻲ ﻃﺮاﺣﻲ.. 54

3-3-4 ﺳﻄﺢ 4 – وارﺳﻲ داﺧﻠﻲ.. 57

3-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ61

3-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ... 64

3-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ.. 67

3-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ.. 69

3-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ.. 70

3-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری.. 71

3-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ72

3-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ74

3-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت.. 75

3-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ HTTP......... 76

3-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ.. 77

3-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب.. 78

3-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ.. 78

3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ.. 79

فصل چهارم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection. 81

4-1 ﻣﻘﺪﻣﻪ. 82

4-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ SQL....... 82

4-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ. 83

4-4 ﻋﻮاﻣﻞ ﺧﻄﺮ. 85

4-5 ازﻣﻮن ﺗﺰرﻳﻖ SQL ........ 90

4-5-1 ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL اﺳﺘﺎﻧﺪارد. 93

4-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه. 99

4-7 ﺗﺰرﻳﻖ‪ SQL ﻛﻮر. 101

4-8 اﻧﮕﺸﺖ ﻧﮕﺎری ازRDBMS ............... 103

4-9 ﺣﻤﻠﻪیTiming ............ 103

4-10 روش‌های مقابله با حملات SQL Injection. 104

فصل پنجم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS. 106

5-1 ﻣﻘﺪﻣﻪ. 107

5-2 تشریح حملات XSS. 108

5-3 روشﻫﺎی امنیتی.. 109

5-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری.. 109

5-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ110

5-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی ‪HTML و ﻓﻴﻠﺘﺮﻫﺎ112

5-3-4 روﻳﻜﺮدExclusion..................... ... 118

5-4 راه های مقابله با حملات XSS. 122

5-5 بهره برداری.. 125

فصل ششم: مدیریت نشست... 128

6-1 مقدمه. 129

6-2 ملاحظات امنیتی و اقدامات متقابل.. 129

6-3 به کارگیری رمزنگاری در تمامی مبادلات.. 129

6-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی.. 131

6-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly. 132

6-4 تنها ذخیره شناسه نشست درسمت کلاینت... 133

6-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET. 133

6-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست... 134

6-7 انقضای نشست در صورت عدم فعالیت... 135

6-8 شناسه نشست را قابل مشاهده قرار ندهید. 136

6-9 انتخاب شناسه نشست مناسب... 136

6-10 جلوگیری از اسیب پذیری XSS. 137

6-11 اجبار در ایجاد شناسه نشست سمت سرور. 138

فصل هفتم: نتیجه گیری و ارزیابی.. 139

7-1 نتیجه گیری و ارزیابی.. 140

فهرست منابع.. 143

 

فهرست اشکال

 

شکل 1-1 اشنایی با معماری فایروال.. 4

شکل 2-1 مزایای WAF. 36

ﺷﻜﻞ3-1 ﺳﻄﻮحOWASP ASVS ........................... 44

‫ﺷﻜﻞ 3-2 ﺳﻄﻮح OWASP ASVS .......................... 46

ﺷﻜﻞ 3-3 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 1 از OWASP ASVS. 48

ﺷﻜﻞ 3-4 ﺳﻄﻮحOWASP ASVS ‪........................... 50

ﺷﻜﻞ 3-5 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ، در ﺳﻄﺢ 2 از ‪OWASP ASVS......................... 53

ﺷﻜﻞ3-6 ﺳﻄﺢ 3 در ‪OWASP ASVS......................... 55

ﺷﻜﻞ 3-7 ﻣﺜﺎﻟﻲ از ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 3 از ‪OWASP ASVS......................... 57

ﺷﻜﻞ 3-8 ﺳﻄﺢ 4 در ‪OWASP ASVS......................... 58

ﺷﻜﻞ 3-9 ﻣﺜﺎل ﻛﺪ ازﻣﺎﻳﺶ ﻧﺸﺪه ﺳﻄﺢ 4 در ‪OWASP ASVS......................... 61

شکل 3-10 نمای کلی یک گزارش... 79

شکل 5-1 نحوه انجام حمله. 127

شکل 6-1 پشتیبانی مرورگرهای مختلف از HTTPOnly. 132

شکل6-2 پیاده سازی فیلترینگ... 134

شکل 6-3 مثال هایی از مقادیر رشته برای شناسایی کاربر. 135

 

 

فهرست جداول

 

جدول 2-1 نمونهای از مکانیزمهای امنیتی WAFها بااستفاده از اسیب پذیریهای خاص.... 23

جدول 2-2 امنیت در مقابل OWASP TOP10. 34

‫ﺟﺪول 3-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﻌﻤﺎری اﻣﻦ.. 64

‫ﺟﺪول 3-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ... 67

ﺟﺪول 3-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ.. 68

ﺟﺪول 5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺮﺑﻮط ﺑﻪ اﻋﺘﺒﺎرﺳﻨﺠﻲ ورودی را در ﭼﻬﺎر ﺳﻄﺢ ﻧﺸﺎن ﻣﻲدﻫﺪ:69

‫ﺟﺪول 3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻋﺘﺒﺎرﺳﻨﺠﻲ ورودی.. 69

‫ﺟﺪول 3-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ.. 71

ﺟﺪول 3-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی رﻣﺰﻧﮕﺎری.. 72

‫ﺟﺪول3-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺛﺒﺖ و ﻛﻨﺘﺮل ﺧﻄﺎ74

ﺟﺪول3-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺣﻔﺎﻇﺖ داده. 75

‫ﺟﺪول 3-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ارﺗﺒﺎﻃﺎت اﻣﻦ.. 76

‫ﺟﺪول 3-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖ 77

ﺟﺪول 3-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ.. 77

‫ﺟﺪول 3-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺟﺴﺘﺠﻮی ﻛﺪ ﻣﺨﺮب.. 78

ﺟﺪول 3-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖ داﺧﻠﻲ.. 79



پرداخت اینترنتی - دانلود سریع - اطمینان از خرید

پرداخت هزینه و دریافت فایل

مبلغ قابل پرداخت 4,000 تومان
(شامل 20% تخفیف)
مبلغ بدون تخفیف: 5,000 تومان
نمایش لینک دانلود پس از پرداخت هزینه
ایمیل
موبایل

درصورتیکه برای خرید اینترنتی نیاز به راهنمایی دارید اینجا کلیک کنید


فایل هایی که پس از پرداخت می توانید دانلود کنید

نام فایلحجم فایل
it168_214137_6365.zip586.4k