WAF یک سخت افزار یا مجموعه ای از کدهایست (نرم افزار) که با قرار گرفتن در مسیر اینترنت/فایروال و وب سرور از بروز حملات تحت وب به وب سایت های سرور جلوگیری نموده و آنها را Block می نماید.
با توجه به گسترش روز افزون تکنولوژی و نیاز به مطرح شدن افراد/شرکت ها و سایت موسسات در فضای مجازی اینترنت/اینترانت نگرانی بسیار بزرگی پدیدار خواهد شد که چیزی نیست جز امنیت وب سایت.
آیا سیستم های مدیریت محتوا واقعا در محیطی امن اطلاعات کاربران را نگه داری می کنند و در نهایت امنیت اطلاعات حفظ می شود؟
با توجه به اینکه تمامی کاربران سطح اینترنت به سایت ها دسترسی دارند، این مورد اهمیت بسیاری پیدا می کند که چه کاربری می بایست چه نوع اطلاعاتی را از یک سایت مشاهده نماید؟
آیا شخصی می تواند خارج از چارت تعیین شده به اطلاعاتی که مجاز به دیدن آنها نیست دسترسی یابد ؟
WAF گزینه ایست که بین فایروال و وب سرور قرار می گیرد و وظیفه کنترل کاربران را بر عهده دارد و از حملاتی که سبب دسترسی کاربران غیر مجاز به اطلاعات محرمانه می شود جلوگیری می کند.WAF در دو نوع نرم افزاری و سخت افزاری موجود می باشد.
حملاتی که WAF از آنها جلوگیری می نماید.
بیش از 75 درصد از حملاتی که منجر به دسترسی غیر مجاز هکرها به اطلاعات می گردد، از طریق Web صورت می گرد. به این دلیل که دسترسی به وب سرور هم دسترسی به دیتای اصلی یک سایت است، هم راه نفوذ را برای ورود به سایر سرورهای یک Data Center مقدور می سازد.
حملاتی که WAF در لایه 7 از بروز آنها روی وب سرور جلوگیری می نماید به شرح ذیل می باشند:
- Protection against common attacks
- SQL Injection
- (Cross Site Scripting (XSS
- (Cross-Site Request Forgery (CSRF
- Session Hijacking
- Buffer Overflow
- OS command injection
- Information leakage
- (Denial of Service (DoS
- Malicious Robots
- Parameter Tampering
- Malicious and Illegal Encoding
- Directory Traversal
- Web Server and OS Attacks
- Site Reconnaissance
- (Remote File Inclusion (RFI