CC BY
15
УДК 004.492.3
DOI: 10.24412/2071-6168-2023-8-305-306
ОПРЕДЕЛЕНИЕ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТИПА ОБХОДА WEB APPLICATION FIREWALL
И.Д. Крылов, И.В. Кича, Д.П. Яковлев, А.А. Жданов, Д.К. Шульга, И.О. Елфимов,
Г.В. Беликов, В.А. Селищев
Рассматриваются источники и условия реализации рисков информационной безопасности, возникающих при обходе web application firewall. Определяются контрмеры для противодействия данным рискам.
Ключевые слова: информационная безопасность, веб-приложения, риски информационной безопасности, источники угроз, меры противодействия угрозам.
Web application firewall (WAF) - программное обеспечение или аппаратное устройство, которое используется для защиты веб-приложений от различных атак, вредоносного программного обеспечения и уязвимостей, работающее на уровне приложения и обеспечивающее защиту от широкого спектра атак, таких как инъекции SQL, кросс-сайтовый скриптинг (XSS), кросс-сайтовое подделывание запросов (CSRF), и других атак, которые могут использовать уязвимости веб-приложений.
Основная задача рассматриваемой технологии - фильтрация и мониторинг HTTP-трафика между клиентами и веб-серверами с целью обнаружения и блокирования потенциально опасных запросов. WAF анализирует входящие и исходящие HTTP-запросы и отклоняет те, которые соответствуют заранее определенным правилам или сигнатурам уязвимостей [1].
В настоящее время обход WAF представляет серьезную угрозу, поскольку дает злоумышленникам возможность эксплуатировать уязвимости веб-приложений и получать доступ к конфиденциальной информации, несмотря на наличие данного метода ее защиты. Рассматриваемые уязвимости могут причинить значительный финансовый и репутационный ущерб организациям.
Приведем некоторые факты, демонстрирующие серьезность проблемы:
- широкое использование: согласно опросу Gartner более 80 % организаций по всему миру, владеющих или использующих веб-приложения, применяют WAF как часть обеспечения безопасности веб-приложений. Это означает, что большое количество организаций потенциально подвержены риску нарушения безопасности из-за обхода WAF;
- постоянно развивающиеся методы обхода: злоумышленники все время разрабатывают новые методы обхода WAF. Например, в последние годы наблюдается рост использования полезных нагрузок на основе JSON и XML для обхода WAF. Следовательно, организациям необходимо быть в курсе новейших технологий и тенденций для эффективной защищиты своих веб-приложений;
- серьезные проблемы в результате успешного обхода: успешный обход WAF может позволить злоумышленникам использовать уязвимости в веб-приложениях, красть конфиденциальную информацию и выполнять произвольные команды на вебсервере. Это может привести к значительному финансовому и репутационному ущербу для организаций, а также к потере доверия клиентов;
- комплексный подход: организациям необходимо внедрять другие меры безопасности, такие как регулярные оценки уязвимостей, тестирование на проникновение и планирование реагирования на инциденты.
Таким образом, обход WAF сегодня является серьезной проблемой, поскольку он позволяет злоумышленникам использовать уязвимости в веб-приложениях, несмотря на наличие WAF, и может привести к значительному финансовому и репутационно-му ущербу для организаций.
В таблице продемонстрировано соответствие между контрмерами и рисками информационной безопасности. Данная таблица помогает определить, какая конкретная мера применяется для предотвращения угрозы, на которую она направлена [2].
Соответствие источников реализации рисков информационной _безопасности и мер противодействия данным рискам_
Источник реализации риска информационной безопасности [3] Контрмеры [4]
Код, обходящий правила web application firewall, например, применение SQL-инъекций, которые могут позволить злоумышленнику получить доступ к базе данных или XSS-атак, использующихся для кражи куки или другой конфиденциальной информации 1. Регулярное обновление программного обеспечения и веб-приложений для предотвращения уже известных уязвимостей. 2. Включение и настройка функции защиты от SQL-инъекций и XSS-атак в само приложение. 3. Использование технологий и инструментов, таких как Content Security Policy (CSP) и HTTPOnly Cookies, для снижения риска XSS-атак и кражи сессий. 4. Настройка web application firewall на основе специфических правил и параметров безопасности для каждого веб-приложения. 5. Регулярный анализ журналов доступа и событий WAF для выявления аномалий и подозрительных активностей
Ботнеты, а также другие инструменты для обхода блокировки IP-адресов, которые могут быть заблокированы web application firewall 1. Регулярное обновление списка заблокированных IP-адресов на основе новых угроз и атак. 2. Установка ограничений на количество запросов от одного IP-адреса в единицу времени. 3. Установка ограничений на общее количество запросов от всех IP-адресов в единицу времени. 4. Установка капчи для запросов с подозрительных IP-адресов или при превышении лимита запросов. 5. Использование специальных сервисов для защиты от DDoS-атак и блокировки злоумышленных IP-адресов
Скрытие вредоносного кода в трафике, например, сжатие и шифрование трафика [5] 1. Использование интеллектуальных алгоритмов и анализаторов трафика, способных обнаруживать скрытый вредоносный код, например, путем анализа сигнатур или аномалий в трафике. 2. Ограничение использования сжатия и шифрования трафика только на доверенных уровнях сети, таких как внутренние сети или защищенные виртуальные частные сети (VPN). 3. Настройка WAF на анализ и декодирование сжатого или зашифрованного трафика, чтобы обнаруживать вредоносные паттерны или сигнатуры внутри трафика. 4. Использование регулярного обновления сигнатур и паттернов для обнаружения новых методов скрытия вредоносного кода. 5. Реализация проверки целостности трафика, такой как использование хеширования или цифровых подписей для обнаружения изменений в зашифрованном трафике, которые могут указывать на наличие вредоносного кода
Специальные инструменты для обхода web application firewall, например, инструменты для перехвата и изменения трафика или для обхода определения ботов и вредоносных программ 1. Установка SSL-сертифика- тов и настройка HTTPS, что поможет обнаружить и блокировать попытки изменения трафика. 2. Использование встроенных средств защиты, таких как встроенные функции определения ботов и вредоносных программ. 3. Установка дополнительных инструментов, например, систем управления угрозами (Threat Intelligence Platforms), которые могут обнаруживать новые угрозы и автоматически блокировать их. 4. Использование системы аналитики журналов, которая позволяет отслеживать все попытки обхода WAF и принимать соответствующие меры. 5. Регулярное обновление правил WAF и их тщательная настройка с целью минимизации возможностей обхода
Перечень продуктов, подверженных данным рискам и соответствующие уязвимости. На данный момент существует большое количество Web application firewall с открытым исходным кодом. Основываясь на методологии, была произведена выборка, в результате которой представлены 10 самых популярных и передовых предложений на сегодняшний день [6]:
1) ModSecurity;
2) NAXSI;
3) libModSecurity;
4) Comodo WAF;
5) Imperva WAF;
6) F5 BIG-IP Application Security Manager;
7) Barracuda WAF;
8) Cisco Web Security Appliance;
9) Fortinet FortiWeb;
10) Shadow Daemon.
Представленные продукты широко используются компаниями, которым необходимо защищать собственные веб-приложения либо приложения заказчика. У каждой компании есть возможность выбрать бесплатный WAF с открытым исходным кодом, но без поддержки со стороны разработчика, либо купить поддерживаемые решения.
Первый вариант выбирают довольно часто, так как он предполагает полную адаптацию продукта под нужды компании. Часто WAF, предоставляемый разработчиком на платной основе, ограничен в функционале, что может привести к нежелательным последствиям, если разработчик своевременно не внедрил новую сигнатуру обнаружения вредоносного запроса. Следующей привилегией является экономия времени, что также важно для бизнес-процессов. Нет необходимости утверждать и сопровождать новые инвестиционные проекты, что сокращает время, за которое будет внедрен WAF в организацию, тем самым быстрее начнется предотвращение вторжений [5].
Обход брандмауэра веб-приложений происходит с помощью различных атак, в том числе из списка OWASP top 10. Опираясь на опыт предыдущих исследователей, были выявлены самые эффективные типы атак, которые используются и по сей день
[7]:
1. SQL-инъекция - использование уязвимости в базе данных веб-приложения. Представляет собой внедрение вредоносного SQL-кода в поля ввода, такие как поле поиска на веб-сайте, с целью доступа к конфиденциальной информации, хранящейся в базе данных, или манипулирования ею.
2. Межсайтовый скриптинг (XSS) - внедрение вредоносных полезных нагрузок на веб-страницы, которые веб-приложение не очищает должным образом. Это может включать внедрение сценариев, которые могут обойти механизмы проверки и фильтрации входных данных WAF, или использование методов кодирования, которые могут обойти механизмы обнаружения WAF.
3. Включение локальных файлов (LFI) - использование уязвимостей в механизме включения файлов веб-приложения. Процесс представляет собой манипулирование входными данными, передаваемыми в функцию включения файлов, например, использование относительных путей к файлам или методов обхода каталогов для включения файлов, которые не предназначены разработчиком веб-приложения.
4. Контрабанда HTTP-запросов - перехват HTTP-запросов, используя уязвимости в способе обработки веб-сервером или веб-приложением нескольких HTTP-запросов. Производится манипулирование способом разделения или объединения запросов, а также способом обработки запросов.
5. Разделение HTTP-запросов - использование уязвимости в способе обработки веб-сервером или веб-приложением нескольких HTTP-запросов. Атака возможна, когда веб-приложение или веб-сервер неправильно проверяет, очищает или нормализует входящие запросы, что позволяет злоумышленнику вводить специально созданный запрос, содержащий несколько заголовков, в результате чего веб-сервер или приложение неправильно интерпретируют запрос и разбивают его на несколько запросов.
6. Обфускация - метод обхода WAF, затрудняющий распознавание или обнаружение вредоносных запросов, включающий в себя кодирование, шифрование или манипулирование структурой запроса таким образом, чтобы затруднить обнаружение вредоносного кода [5].
Таким образом, в статье были проанализированы источники реализации рисков информационной безопасности типа обхода web application firewall и соответствующие им контрмеры для их предотвращения, которые помогут компаниям, имеющим отношение к разработке или эксплуатации веб-приложений, максимально обеспечить свою безопасность.
Список литературы
1. Чем защищают сайты, или Зачем нужен WAF? [Электронный ресурс] URL: https://habr.com/ru/companies/pt/articles/269165 (дата обращения: 10.05.2023).
2. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования. М., 2006.
3. Adem Tekerek, Cemal Gemci, Omer Faruk Bay. Development of a Hybrid Web Application Firewall to Prevent Web Based Attacks // 2014 IEEE 8th International Conference on Application of Information and Communication Technologies - AICT2014. P 50-54.
4. Basem Ibrahim Mukhtar., Marianne A. Azer. Evaluating the Modsecurity Web Application Firewall Against SQL Injection Attacks // 15th International Conference on Computer Engineering and Systems (ICCES). 2020.
5. Mohammed Babiker., Enis Karaarslan., Yasar Hoscan. Web Application Attack Detection and Forensics: A Survey // ULAKBIM UASL Mugla Universitesi. 01.02.2021.
6. Abdul Razzaq, Ali Hur, Sidra Shahbaz, Muddassar Masood, H Farooq Ahmad Critical Analysis on Web Application Firewall Solutions // 3 IEEE Eleventh International Symposiumon Autonomous DecentralizedSystems (ISADS), 2013.
7. OWASP Top Ten. [Электронный ресурс] URL: https://owasp.org/www-project-top-ten (дата обращения: 10.05.2023).
Крылов Илья Дмитриевич, студент, nikplay2000@mail.ru, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Кича Игорь Владимирович, студент, kicha.goshka@gmail.com, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Яковлев Дмитрий Павлович, студент, dimok-payk2@,mail.ru, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Жданов Антон Александрович, студент, zhdanov447@gmail. com, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Шульга Дмитрий Константинович, студент, gindra2001@gmail.com, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Елфимов Илья Олегович, студент, ilya.elfimow@,yandex.ru Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Беликов Георгий Витальевич, студент, belikvita@,mail.ru, Россия, Тула, Тульский государственный университет,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@ rambler.ru, Россия, Тула, Тульский государственный университет
IDENTIFICATION OF INFORMATION SECURITY RISKS WEB APPLICATION FIREWALL
BYPASS TYPE SECURITY
I.D. Krylov, I.V. Kicha, D.P. Yakovlev, A.A. Zhdanov, D.K. Shulga, I.O. Elfimov,
G.V. Belikov, V.A. Selishchev 308
The sources and conditions for the implementation of information security risks that arise when bypassing the web application firewall are considered. Counter-measures to counteract these risks are determined.
Key words: information security, web applications, information security risks, sources of threats, measures to counter threats.
Krylov Ilya Dmitrievich, student, nikplay2000@mail.ru, Russia, Saint Petersburg, ITMO National Research University,
Kicha Igor Vladimirovich, student, kicha.goshka@gmail.com, Russia, Saint Petersburg, ITMO National Research University,
Yakovlev Dmitry Pavlovich, student, dimok-payk2@,mail.ru, Russia, Saint Petersburg, ITMO National Research University,
Anton Alexandrovich Zhdanov, student, zhdanov447@gmail.com, Russia, Saint Petersburg, ITMO National Research University,
Dmitry Konstantinovich Shulga, student, gindra2001@gmail. com, Russia, Saint Petersburg, ITMO National Research University,
Elfimov Ilya Olegovich, student, ilya.elfimow@yandex.ru, Russia, Saint Petersburg, ITMO National Research University,
Georgy Vitalievich Belikov, student, belikvita@,mail.ru, Russia, Tula, Tula State University,
Selishev Valeryi Anatolievich, сandidate of technical sciences, docent, sel648val@rambler.ru, Russia, Tula, Tula State University
УДК 004.492.3
DOI: 10.24412/2071-6168-2023-8-309-310
АНАЛИЗ СОСТОЯНИЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ Ь^СЕТЕЙ
И.Д. Крылов, А.К. Тимкин, И.В. Кича, В.А. Селищев
Рассматриваются архитектура, беспроводная инфраструктура, а также состояние защиты информации в производимых ^^устройствах. Изложены основные характеристики беспроводных технологий, применяемых при построении системы Умный дом. Предложены меры информационной безопасности для построения защищенных сетей IoT.
Ключевые слова: информационная безопасность, Интернет вещей (^1), беспроводная инфраструктура, меры информационной безопасности, архитектура IoT.
Обзор состояния защищенности технологии ^^ Стремительное развитие информационных технологий обусловлено потребностью общества в цифровой трансформации всех сфер жизни, а также широким внедрением интеллектуальных решений и систем. Информация становится важнейшим ресурсом в бизнес-среде, и обеспечение безопасности данных становится критически важной задачей для компаний разного масштаба [1].
