網頁應用防火牆

網頁應用防火牆

 

        隨著網際網路的爆炸性發展,現今多數的資訊及商業行為,也在網路上進行,無論是電子商務、銀行、證券交易等行為,都透過網站上的應用程式對後端資料庫進行處理後,再將資料傳送到客戶端,所以駭客為了取得相關資料,網站成為駭客的攻擊目標。

        根據OWASP所公布2013年Top 10主要網頁應用程式風險項目如下:

 

A1 Injection

A2 Broken Authentication and Session Management

A3 Cross-Site Scripting (XSS)

A4 Insecure Direct Object References

A5 Security Misconfiguration

A6 Sensitive Data Exposure

A7 Missing Function Level Access Control

A8 Cross-Site Request Forgery (CSRF)

A9 Using Components with Known Vulnerabilities

A10 Unvalidated Redirects and Forwards

 

        駭客可針對攻擊目標網站,以上述幾項攻擊方式,以正常網頁行為,通過防火牆及入侵偵測防禦系統,成功的對網站進行攻擊,進而達到資料竊取的目的,對企業的影響,除了資料的外洩之外,對於公司的商譽及後續法律事件,都有很大的影響,因此針對此類的攻擊,必須要有相對應的防禦機制,而網頁應用程式防火牆(Web Application Firewall, WAF),便是針對此一需求所設計出來的防禦系統。

        Web應用程式防火牆可保護Web應用程式免受複雜的攻擊,阻止線上身份竊取,並防止資料經由應用程式洩露。包括layer 2 Bridge、Proxy和Non-Inline方式在內的多種設定選項,使部署變的非常簡單,而且不需要對現有應用程式或網路進行任何更改。