ДОСЛІДЖЕННЯ МЕХАНІЗМІВ ОБХОДУ ФАЄРВОЛІВ ВЕБ-ДОДАТКІВ

Іван Тишик

doi:10.28925/2663-4023.2025.31.1008

Автор(и)

Іван Тишик Національний Університет «Львівська Політехніка» https://orcid.org/0000-0003-1465-5342

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1008

Ключові слова:

фаєрвол веб-додатків, мережеві атаки, SQL- ін'єкція, міжсайтовий скриптинг, міжсайтова підробка запиту, Ін'єкція зовнішньої сутності, HTTP-запит

Анотація

Зростаюча залежність сучасних організацій від веб-додатків зумовила істотне збільшення кількості кібератак, спрямованих на порушення їх функціонування, компрометацію даних чи несанкціонований доступ до ресурсів. Зловмисники активно експлуатують уразливості веб-додатків для викрадення конфіденційної інформації, маніпуляцій з базами даних та підриву цілісності сервісів. У відповідь на ці загрози брандмауери для веб-додатків (WAF) стали важливими елементами безпеки, виконуючи функцію фільтрації та контролю трафіку між веб-додатками та Інтернетом. Традиційні WAF, які використовують сигнатурне виявлення, ефективні проти відомих загроз, проте мають труднощі з виявленням нових видів мережевих атак, зокрема атак «нульового дня». Для подолання цих обмежень з'явилися методи виявлення на основі аномалій, які дозволяють оцінити відхилення запитів від нормальної їх поведінки. На цей час широко впроваджуються WAF, які об'єднують сигнатурні та аномальні методи виявлення, використовуючи алгоритми машинного навчання для адаптації до нових загроз. Крім того, у WAF включають методи запобігання втраті даних (DLP) для захисту конфіденційної інформації. Для оцінювання ефективності WAF у роботі проаналізовано дію таких видів атак на веб-системи, як міжсайтовий скриптинг, впровадження SQL-коду та міжсайтова підробка. Також розглянуто основні способи обходу WAF. На основі віртуальної машини з встановленим веб-додатком, який створений для навчання та тестування в сфері кібербезпеки (DVWA) проведено експеримент з обходу WAF із використанням атак типу SQL Injection, XSS, CSRF. Використано шкідливі команди у вигляді запитів із шаблонними символами, які навіть за умови коректно налаштованих фільтраційних правил можуть виявитися досить ефективним способом обходу WAF. З метою захисту веб-аплікацій від шкідливих запитів проведено тестування на основі фаєрвола ModSecurity з рівнями політики PL1–3. Оскільки атаки SQL-ін'єкції залишаються серйозною загрозою, дослідження спрямоване на вивчення існуючих механізмів захисту, виявлення слабких місць та надання рекомендацій для подальших вдосконалень у цій області.

Завантаження

Дані завантаження ще не доступні.

Посилання

Shan, A., & Myeong, S. (2024). Proactive Threat Hunting in Critical Infrastructure Protection through Hybrid Machine Learning Algorithm Application. Sensors, 24(15), 4888. https://doi.org/10.3390/s24154888. MDPI

Stuttard, D., & Pinto, M. (2011). The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley

Huang, K. A., & Smith, L. (2019). Web Application Firewalls: Performance and Security. IEEE Transactions on Dependable and Secure Computing, 16(4), 511-525. https://doi.org/10.1109/TDSC.2018.2879804

Anderson, T., & Brown, N. (2020). A Survey on Intrusion Detection Systems. ACM Computing Surveys, 52(2), 1-36. https://doi.org/10.1145/3372247

Zhang, M., & Yang, R. (2021). Security in Web Applications: A Survey. Journal of Computer Security, 29(3), 293-315. https://doi.org/10.3233/JCS-201117

Hulet, K. (2022). Web Application Security Testing Cookbook. O’Reilly Media.

Clement, A. (2024). Web Application Security: A Pragmatic Exposé. CRC Press

Hemmati, M., & Hadavi, M. A. (2021). Using deep reinforcement learning to evade web application firewalls. In 2021 18th International ISC Conference on Information Security and Cryptology (ISCISC) (pp. 35–41). IEEE.

Author(s) (2023). Deep Learning Technique-Enabled Web Application Firewall for the Detection of Web Attacks. [Journal/Conference Name, if applicable].

10.Brown, C., & Davis, D. (2024). Improving Firewall Usability Through Comprehensive Documentation. International Journal of Human-Computer Studies, 180, 103125.

Kostiuk, Yu. V., Skladannyi, P. M., Bebeshko, B. T., Khorolska, K. V., Rzaieva, S. L., & Vorokhob, M. V. (2025). Information and communication systems security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Kostiuk, Yu. V., Skladannyi, P. M., Hulak, H. M., Bebeshko, B. T., Khorolska, K. V., & Rzaieva, S. L. (2025). Information security systems. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Hulak, H. M., Zhyltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2023). Enterprise information and cyber security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.