پایان نامه فایروال های برنامه های تحت وب (WAF)

پایان نامه فایروال های برنامه های تحت وب (WAF)

رفتن به سایت اصلی

چکیده:تمام برنامه های کاربردی تحت وب که در سال های اخیر رشد بسیاری داشته اند، مورد هدف حمله هکرها واقع شده اند. هکرها از روش-هایی استفاده می کنند که به طور خاص با هدف بهره برداری از نقاط ضعف نرم افزارهای کاربردی تحت وب طراحی می شوند و این حمله ها توسط سیستم های امنیتی سنتی IT مانند فایروال های شبکه یا سیستم های IDS/IPS با دقت کافی قابل تشخیص نیستند. این ابزارها توسط OWASP توسعه داده شده و برای افرادی که در بخش امنیتی برای توسعه و بهره برداری ایمن از یک برنامه کاربردی تحت وب فعالیت می کنند، مناسب می باشند. یکی از این نوع ابزارها، ابزاری به نام Web Application Firewalls است، (که ممکن است با نام های Web Application Shields یا Web Application Security Filters نیز خوانده شود) که برای محافظت در مقابل حمله های صورت گرفته، به ویژه برای برنامه های کاربردی تحت وب مورد استفاده قرار می گیرد.فهرست:فصل اول مقدمه1-1 مقدمه1-2 مقدمه ای بر Firewall1-3 انواع فایروال1-4 موقعیت یابی برای فایروال1-5 ویژگی ها و معایب IPSها1-6 بررسی عوامل نیاز ما به WAF1-7 معرفی فایروال های مجهز و مدرن (SMARTWAF)1-7-1 عملکرد SmartWAF1-7-2 مدیریت SmartWAF1-8 معیار ارزیابی برنامه فایروال1-8-1 WAFEC1.0 (عرضه شده)1-8-2 WAFEC2.0 (در دست اقدام)فصل دوم: فایروال های برنامه های تحت وب2-1 مقدمه2-2 تعریف واژه WAF- فایروال برنامه های تحت وب2-3 ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها2-3-1 جنبه های سطح عالی در درون سازمان2-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی2-4 مروری بر ویژگی های فایروال برنامه کاربردی وب (WAF)2-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند؟2-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص2-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب2-5-1 مزیت اصلی WAFها2-5-2 مزایای اضافی WAFها (وابسته به عملکرد واقعی محصولات)2-6 امنیت در مقابل OWASP TOP10 – مقایسه WAFها و روش های دیگر2-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF2-7-1 معیارهای گسترده سازمانی2-7-2 ضوابط مربوط به یک برنامه تحت وب2-7-3 ارزیابی2-7-4 در نظر گرفتن جنبه های مالی2-8 بهترین شیوه برای معرفی و عملکرد WAF2-8-1 جنبه های موجود در زیرساخت های وب2-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی -تغییرات قابل پیش بینی2-8-1-2 معیار کارایی2-8-2 جنبه های سازمانی2-8-2-1 منطبق با سیاست های امنیتی موجود2-8-2-2 مدیر برنامه های تحت وب2-8-3 روال های تکراری پیاده سازی (از امنیت اولیه تا حفاظت کامل)فصل سوم: اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب3-1 ﻣﻘﺪﻣﻪ3-2 روﻳﻜﺮد3-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی3-3-1 ﺳﻄﺢ 1- وارﺳﻲ ﺧﻮدﻛﺎر3-3-1-1 ﺳﻄﺢ ‪1A- ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ)3-3-1-2 ﺳﻄﺢ‪ 1B- ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ)3-3-2 ﺳﻄﺢ 2- وارﺳﻲ دﺳﺘﻲ3-3-2-1 ﺳﻄﺢ ‪ 2A- ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی)3-3-3 ﺳﻄﺢ 3 – وارﺳﻲ ﻃﺮاﺣﻲ3-3-4 ﺳﻄﺢ 4 – وارﺳﻲ داﺧﻠﻲ3-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ3-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ3-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ3-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ3-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ3-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری3-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ3-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ3-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت3-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ HTTP3-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ3-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب3-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲفصل چهارم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection4-1 ﻣﻘﺪﻣﻪ4-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ SQL4-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ4-4 ﻋﻮاﻣﻞ ﺧﻄﺮ4-5 ازﻣﻮن ﺗﺰرﻳﻖ SQL4-5-1 ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL اﺳﺘﺎﻧﺪارد4-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه4-7 ﺗﺰرﻳﻖ‪ SQL ﻛﻮر4-8 اﻧﮕﺸﺖ ﻧﮕﺎری از RDBMS4-9 ﺣﻤﻠﻪی Timing4-10 روش‌های مقابله با حملات SQL Injectionفصل پنجم: اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS5-1 ﻣﻘﺪﻣﻪ5-2 تشریح حملات XSS5-3 روشﻫﺎی امنیتی5-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری5-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ5-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی ‪ HTML و ﻓﻴﻠﺘﺮﻫﺎ5-3-4 روﻳﻜﺮد Exclusion5-4 راه های مقابله با حملات XSS5-5 بهره برداریفصل ششم: مدیریت نشست6-1 مقدمه6-2 ملاحظات امنیتی و اقدامات متقابل6-3 به کارگیری رمزنگاری در تمامی مبادلات6-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی6-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly6-4 تنها ذخیره شناسه نشست درسمت کلاینت6-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET6-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست6-7 انقضای نشست در صورت عدم فعالیت6-8 شناسه نشست را قابل مشاهده قرار ندهید6-9 انتخاب شناسه نشست مناسب6-10 جلوگیری از اسیب پذیری XSS6-11 اجبار در ایجاد شناسه نشست سمت سرورفصل هفتم: نتیجه گیری و ارزیابی7-1 نتیجه گیری و ارزیابیفهرست منابع

 
پرداخت و دریافت فایل

برچسب ها:
ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی ﻛﻨﺘﺮل اﻣﻨﻴﺖ مدیریت نشست ‪WAF OWASP SQL Injection XSS فایروال های برنامه های تحت وب پایان نامه فایروال فایروال های تحت وب فایروال تحت وب تحت وب پروژه فایروال تحت وب اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب آﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL