Abstract
Domestic and foreign regulations related to the protection of web applications are analyzed. It is established that the requirements for its individual means of protection should be taken into account when developing a comprehensive information protection system. The most effective of the elements of the complex of means of protection for automated systems of class 2 and 3, on which web servers operate is the firewall of web applications, which is not required in open sources. Therefore, the development of such requirements is an urgent and urgent problem, the solution of which will simplify the development of a comprehensive information security system. Based on the relevance of the results of the work are the requirements for firewalls of web applications. One of the few open sources that allows you to implement such a component of a comprehensive information security system as the firewall of web applications is a list of rules from MITRE and the open project to ensure the security of web applications OWASP. However, these rules do not implement the developed requirements, so in addition, proposed and implemented rules for filtering the firewalls of web applications that meet them. The technique of their check on conformity to the established requirements is formed. Based on such utilities as Metasploit FW, nikto, dirb, wafninja, a software application has been developed that implements this technique. It has a direct link to the CVE database, which allows you to detect and check for current vulnerabilities. OWASP ModSecurity is used as a security component, the source code of which is located on official repositories and operates on the basis of the nginx web server. The capabilities of ModSecurity are enhanced by a developed dynamic connector that allows you to use the firewall of web applications as a separate means of protecting information. Certain filtering rules are implemented in the developed protection tool. This satisfies the requirements for a set of security features in a comprehensive information security system such as continuous protection of computer systems and a modular structure.
Highlights
Ключові слова: веб застосунок, міжмережевий екран, вимога, комплексна система захисту інформації, комплекс засобів захисту, OWASP ModSecurity
Більша частина наукових робіт за темою WAF присвячена його використанню щодо протидії відомим атакам на веб застосунки
Жилін Артем Вікторович, кандидат технічних наук, доцент кафедри кібербезпеки і застосування інформаційних систем і технологій, Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, Київ, Україна
Summary
Проаналізовано вітчизняні та іноземні нормативні документи, які стосуються захисту веб застосунків. Найефективнішим з елементів комплексу засобів захисту для автоматизованих систем класу 2 та 3, на яких функціонують веб сервери є міжмережевий екран веб застосунків, вимоги до якого у відкритих джерелах відсутні. Одними з небагатьох відкритих джерел, які дозволяють реалізувати такий компонент комплексної системи захисту інформації як міжмережевий екран веб застосунків є перелік правил від корпорації MITRE та відкритого проекту забезпечення безпеки веб застосунків OWASP. Можливості ModSecurity розширено розробленим динамічним конектором, що дозволяє використовувати міжмережевий екран веб застосунків як окремий засіб захисту інформації. Ключові слова: веб застосунок, міжмережевий екран, вимога, комплексна система захисту інформації, комплекс засобів захисту, OWASP ModSecurity. Зокрема й [3], спрямовані на аналіз можливостей й підходів до застосування WAF щодо захисту веб застосунків. Метою роботи є формування вимог до реалізації міжмережевого екрану веб застосунків, а також розроблення методики й інструментарію перевірки відповідності WAF встановленим вимогам. Узагальнена структурна схема місця WAF в архітектурі мережі представлена на рис. 1, де Web-server – сервер, на якому запущено службу, Web application – веб застосунок, WAF – Web application firewall – міжмережевий екран веб застосунку, NSS – Network security systems – системи мережевої безпеки
Sign-in/Register to view highlights & summary Sign-in/Register to access full text options 
Talk to us
Join us for a 30 min session where you can share your feedback and ask us any queries you have
Schedule a call
