Реализация на защитна стена за уеб приложения (WAF) | Защитена на: 01/01/1900

Настоящата дипломна работа разглежда различни методи и технологии за защита на уеб приложения от най-честите атаки. Използването на тези методи за защита намалява риска от успешни атаки в критични уеб системи като например онлайн банкиране, застраховане, други финансови и правителствени услуги.

Особено внимание е обърнато на защитните стени за уеб приложения/системи. Защитна стена за уеб приложение (web application firewall, съкратено WAF) е специализиран софтуер, който е подобен на защитната стена за компютърни мрежи, но работи на седми слой от OSI модела. WAF  следи всяка заявка от клиентите и решава дали да я предаде на уеб сървъра или блокира на база на предварително заредени правила.

Не може да се гарантира липсата на уязвимости в публично достъпната част на една критична уеб система, тъй като тези системи обикновено са големи по обем. Също така се обновяват сравнително често, добавя се нова функционалност и се променя съществуваща, което предразполага към неволно „отваряне“ на нови уязвимости. Това налага нуждата от WAF, който да филтрира злонамерените заявки още преди да са достигнали до уеб системата.

Направен е обзор на най-често срещаните уязвимости в уеб приложенията, както са класифицирани от организацията OWASP (Open Web Application Security Project). Разгледани са технологиите за защита срещу атаки, които експлоатират уязвимости. Описани са основните функции на една защитна стена за уеб приложения и нейният вътрешен процес. Описани са съществуващите решения и различните видове защитни стени, както и техните предимства и недостатъци. Изведени са критерии за избор на подходящо решение за защита и е засегнат и финансовият аспект от внедряването на защитна стена.

Същинската част на дипломната работа се състои в проектирането, имплементацията и внедряването на собствена имплементация на защитна стена. Тази имплементация е специално разработена за съществуващо остаряло уеб приложение, което трябва да бъде защитено.