Главная страница » Глоссарий
0
5 дней

WAF (Web Application Firewall)

WAF (Web Application Firewall) - это специализированный брандмауэр прикладного уровня, предназначенный для защиты веб-приложений и API от атак, эксплуатирующих уязвимости в HTTP/HTTPS-трафике. В отличие от сетевых брандмауэров (которые работают на 3–4 уровне OSI), WAF функционирует на 7 уровне (прикладном), анализируя содержимое веб-запросов.

Содержание
  1. Ключевые функции WAF
  2. Как работает WAF
  3. Отличие WAF от других систем

Ключевые функции WAF

  • Защита от OWASP Top-10 уязвимостей: Блокирует SQL-инъекции (SQLi), XSS, CSRF, RCE, SSRF, LFI/RFI и другие атаки.
  • Предотвращение DDoS: Фильтрует flood-трафик на уровне приложения (HTTP-флуд, Slowloris).
  • Защита API: Контролирует структуру запросов (JSON/XML), лимитирует вызовы методов.
  • Борьба с ботами: Выявляет скрапинг, кардинг, брутфорс-атаки через CAPTCHA или поведенческий анализ.
  • Реагирование на нулевые уязвимости (0-day): Сигнатурные и поведенческие правила для неизвестных угроз.

Ограничения WAF

  • Не заменяет безопасный код: Не исправляет уязвимости в приложении (только маскирует).
  • Ложные срабатывания: Может блокировать легитимный трафик при некорректных правилах.
  • Обход защиты: Атаки через шифрование (HTTPS), обфускация полезной нагрузки.
  • Сложность настройки: Требует тонкой кастомизации под конкретное приложение.

Как работает WAF

  1. Инспекция трафика: Анализирует HTTP/S-запросы (URL, параметры, заголовки, тело) и ответы сервера.
  2. Правила фильтрации, Применяет комбинацию методов:
    1. Сигнатурный анализ (шаблоны известных атак)
    2. Эвристический анализ (аномалии в структуре запросов)
    3. Поведенческие модели (ML для выявления подозрительных сессий)
  3. Действия: Блокирует запрос, возвращает ошибку (403), показывает CAPTCHA или логирует инцидент.

Отличие WAF от других систем

Инструмент Уровень OSI Что защищает
Сетевой брандмауэр L3-L4 (IP/порты) Сеть в целом
IPS/IDS L3-L4 (иногда L7) Сетевые атаки (сканирования, эксплойты)
WAF L7 (HTTP/S) Веб-приложения и API

WAF - это динамический фильтр HTTP/S-трафика, который защищает веб-приложения от эксплойтов, используя сигнатурные, поведенческие и машинно-обучаемые методы анализа запросов в реальном времени. Это критический элемент Defense-in-Depth (Безопастность интернета) для любой публичной веб-инфраструктуры.

Похожие записи
0
15 часов
Индикаторы компрометации

Librarian Ghouls: Новая волна атак на российские компании с использованием легального ПО

APT
APT-группа "Librarian Ghouls", также известная как "Rare Werewolf" и "Rezet", продолжает целенаправленно атаковать организации в России и странах СНГ. По данным исследователей, злоумышленники остаются
1
16 часов
Индикаторы компрометации

Злоумышленники внедряют в npm-пакеты скрытые функции для удаления файлов на серверах

security
Эксперты по кибербезопасности из Socket обнаружили два вредоносных пакета в npm-репозитории, которые под видом полезных утилит скрывают опасный функционал. Пакеты express-api-sync и system-health-sync-api
1
17 часов
Индикаторы компрометации

Киберриски солнечных электростанций: 35 000 уязвимых устройств подключены к интернету

security
Солнечные электростанции становятся все более популярным источником возобновляемой энергии, однако их безопасность вызывает серьезные опасения. Исследователи Forescout Research - Vedere Labs обнаружили
1
18 часов
Индикаторы компрометации

APT 41 использует Google Calendar для скрытого управления вредоносным ПО в атаках на Тайвань

APT
Китайская хакерская группа APT 41, также известная как BARIUM, Wicked Panda и Brass Typhoon, продолжает демонстрировать высокий уровень изощренности в своих кибероперациях.