یکشنبه 17 اسفند 1399 | Sunday 7 th of March 2021 صفحه اصلی گروه الکترونیکی کامپیوتر
عنوان فارسی: فایروال های برنامه های تحت وب (WAF)
عنوان انگلیسی: Web Application Firwall (WAF)
دانشجو: امینی سارا ،امیری المیرا
استاد راهنما: محمد مهدی هاشمي نژاد
استاد دفاع: نامشخص
تاریخ ارائه: تابستان 1391
مقطع تحصیلی: کارشناسی
دانشگاه: دانشگاه پیام نور مشهد
موضوعات مرتبط: تحقیقاتی | فناوری اطلاعات | امنیت | نرم افزار | برنامه تحت وب | طراحی الگوریتم |
رشته های مرتبط: مهندسی فناوری اطلاعات | مهندسی کامپیوتر - نرم افزار |
تاریخ قرار گیری در سایت: 27 مهر 1391 ساعت: 14:19:36
تعداد بازدید: 5762 بازدید
چکیده فارسی: تمام برنامه های کاربردی تحت وب که در سال های اخیر رشد بسیاری داشته اند، مورد هدف حمله هکرها واقع شده اند. هکرها از روش-هایی استفاده می کنند که به طور خاص با هدف بهره برداری از نقاط ضعف نرم افزارهای کاربردی تحت وب طراحی می شوند و این حمله ها توسط سیستم های امنیتی سنتی IT مانند فایروال های شبکه یا سیستم های IDS/IPS با دقت کافی قابل تشخیص نیستند. این ابزارها توسط OWASP توسعه داده شده و برای افرادی که در بخش امنیتی برای توسعه و بهره برداری ایمن از یک برنامه کاربردی تحت وب فعالیت می کنند، مناسب می باشند. یکی از این نوع ابزارها، ابزاری به نام Web Application Firewalls است، (که ممکن است با نام های Web Application Shields یا Web Application Security Filters نیز خوانده شود) که برای محافظت در مقابل حمله های صورت گرفته، به ویژه برای برنامه های کاربردی تحت وب مورد استفاده قرار می گیرد.
چکیده انگلیسی: Web applications of all kinds, have in recent years increasingly become the target of hacker attacks. The attackers are using methods which are specifically aimed at exploiting potential weak spots in the web application software itself, by traditional IT security systems such as network firewalls or IDS/IPS systems. OWASP develops tools and best practices to support developers, project managers and security testers in the development and operation of secure web applications. Additional protection against attacks, in particular for already productive web applications, is offered by what is still a emerging category of IT security systems, known as Web Application Firewalls (hereinafter referred to simply as WAF), often also called Web Application Shields or Web Application Security Filters.
کلمات کلیدی: ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی، وب، ﻛﻨﺘﺮل اﻣﻨﻴﺖ، مدیریت نشست،‪WAF،OWASP ، SQL Injection، XSS.
عنوان بازدید
 فصل اول: مقدمه 932
|— 1-1 مقدمه 1082
|— 1-2 مقدمه ای بر Firewall 1120
|— 1-3 انواع فایروال 1273
|— 1-4 موقعیت یابی برای فایروال 975
|— 1-5 ویژگی ها و معایب IPSها 997
|— 1-6 بررسی عوامل نیاز ما به WAF 1013
|— 1-7 معرفی فایروال های مجهز و مدرن (SMARTWAF) 1030
|—|— 1-7-1 عملکرد SmartWAF 946
|—|— 1-7-2 مدیریت SmartWAF 900
|— 1-8 معیار ارزیابی برنامه فایروال 901
|—|— 1-8-1 WAFEC1.0 (عرضه شده) 949
|—|— 1-8-2 WAFEC2.0 (در دست اقدام) 956
 فصل دوم: فایروال های برنامه های تحت وب 903
|— 2-1 مقدمه 950
|— 2-2 تعریف واژه WAF- فایروال برنامه های تحت وب 1044
|— 2-3 ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها 937
|—|— 2-3-1 جنبه های سطح عالی در درون سازمان 847
|—|— 2-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی 888
|— 2-4 مروری بر ویژگی های فایروال برنامه کاربردی وب (WAF) 936
|—|— 2-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند؟ 1009
|—|— 2-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص 1043
|— 2-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب 987
|—|— 2-5-1 مزیت اصلی WAFها 915
|—|— 2-5-2 مزایای اضافی WAFها (وابسته به عملکرد واقعی محصولات) 962
|— 2-6 امنیت در مقابل OWASP TOP10 - مقایسه WAFها و روش های دیگر 1232
|— 2-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF 886
|—|— 2-7-1 معیارهای گسترده سازمانی 850
|—|— 2-7-2 ضوابط مربوط به یک برنامه تحت وب 810
|—|— 2-7-3 ارزیابی 786
|—|— 2-7-4 در نظر گرفتن جنبه های مالی 783
|— 2-8 بهترین شیوه برای معرفی و عملکرد WAF 797
|—|— 2-8-1 جنبه های موجود در زیرساخت های وب 814
|—|—|— 2-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی -تغییرات قابل پیش بینی 824
|—|—|— 2-8-1-2 معیار کارایی 782
|—|— 2-8-2 جنبه های سازمانی 778
|—|—|— 2-8-2-1 منطبق با سیاست های امنیتی موجود 731
|—|—|— 2-8-2-2 مدیر برنامه های تحت وب 806
|—|— 2-8-3 روال های تکراری پیاده سازی (از امنیت اولیه تا حفاظت کامل) 771
 فصل سوم: اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب 801
|— 3-1 ﻣﻘﺪﻣﻪ‬ 843
|— 3-2 روﻳﻜﺮد‬ 904
|— 3-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی‬ 817
|—|— 3-3-1 ﺳﻄﺢ 1- وارﺳﻲ ﺧﻮدﻛﺎر‬ 858
|—|—|— 3-3-1-1 ﺳﻄﺢ ‪1A‬- ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ) 750
|—|—|— 3-3-1-2 ﺳﻄﺢ‪ 1B‬- ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ) 806
|—|— 3-3-2 ﺳﻄﺢ 2- وارﺳﻲ دﺳﺘﻲ‬ 887
|—|—|— 3-3-2-1 ﺳﻄﺢ ‪ 2A‬- ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی) 792
|—|—|— 3-3-2-2 ﺳﻄﺢ 2B‬- ﺑﺎزﺑﻴﻨﻲ ﻛﺪ (وارﺳﻲ دﺳﺘﻲ ﺟﺰﻳﻲ) 779
|—|— 3-3-3 ﺳﻄﺢ 3 – وارﺳﻲ ﻃﺮاﺣﻲ‬ 798
|—|— 3-3-4 ﺳﻄﺢ 4 – وارﺳﻲ داﺧﻠﻲ‬ 863
|— 3-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ‬ 905
|—|— 3-4-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺴﺘﻨﺪﺳﺎزی ﻣﻌﻤﺎری اﻣﻦ‬ 790
|—|— 3-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ‬ 759
|—|— 3-4-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ‬ 857
|—|— 3-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ‬ 694
|—|— 3-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ‬ 736
|—|— 3-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ‬ 737
|—|— 3-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری‬ 671
|—|— 3-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ‬ 623
|—|— 3-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ‬ 687
|—|— 3-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت‬ 700
|—|— 3-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ‪HTTP‬‬ 639
|—|— 3-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ‬ 639
|—|— 3-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب‬ 664
|—|— 3-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ‬ 670
|— 3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ‬ 683
 فصل چهارم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection 729
|— 4-1 ﻣﻘﺪﻣﻪ‬ 670
|— 4-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ ‪ SQL‬ 669
|— 4-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ‬ 722
|— 4-4 ﻋﻮاﻣﻞ ﺧﻄﺮ‬ 741
|— 4-5 ازﻣﻮن ﺗﺰرﻳﻖ ‪SQL‬‬ 762
|—|— 4-5-1 ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL‬ اﺳﺘﺎﻧﺪارد‬ 666
|—|— 4-5-2 ازﻣﻮن ﺗﺰرﻳﻖ ‪ SQL‬ از ﻃﺮﻳﻖ اﻟﺤﺎق ﭘﺮس وﺟﻮﻫﺎ‬ 671
|—|— 4-5-3 ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL‬ ﻛﻮر‬ 702
|— 4-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه‬ 652
|— 4-7 ﺗﺰرﻳﻖ‪ SQL‬ ﻛﻮر‬ 721
|— 4-8 اﻧﮕﺸﺖ ﻧﮕﺎری از ‪RDBMS‬‬ 635
|— 4-9 ﺣﻤﻠﻪی ‪Timing‬‬ 630
|— 4-10 روش‌های مقابله با حملات SQL Injection 770
 فصل پنجم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS 654
|— 5-1 ﻣﻘﺪﻣﻪ‬ 718
|— 5-2 تشریح حملات XSS 688
|— 5-3 روشﻫﺎی امنیتی 657
|—|— 5-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری‬ 620
|—|— 5-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ‬ 724
|—|— 5-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی ‪ HTML‬ و ﻓﻴﻠﺘﺮﻫﺎ‬ 783
|—|— 5-3-4 روﻳﻜﺮد ‪Exclusion‬‬ 780
|— 5-4 راه های مقابله با حملات XSS 715
|— 5-5 بهره برداری 625
 فصل ششم: مدیریت نشست 628
|— 6-1 مقدمه 588
|— 6-2 ملاحظات امنیتی و اقدامات متقابل 780
|— 6-3 به کارگیری رمزنگاری در تمامی مبادلات 629
|—|— 6-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی 653
|—|— 6-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly 617
|— 6-4 تنها ذخیره شناسه نشست درسمت کلاینت 621
|— 6-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET 670
|— 6-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست 625
|— 6-7 انقضای نشست در صورت عدم فعالیت 597
|— 6-8 شناسه نشست را قابل مشاهده قرار ندهید 615
|— 6-9 انتخاب شناسه نشست مناسب 605
|— 6-10 جلوگیری از اسیب پذیری XSS 641
|— 6-11 اجبار در ایجاد شناسه نشست سمت سرور 617
 فصل هفتم: نتیجه گیری و ارزیابی 665
|— 7-1 نتیجه گیری و ارزیابی 850
 فهرست منابع 759
Compatability by:
آخرین به روز رسانی سایت: سه شنبه, 22 اسفند 1391 - 00:26