Skrót WAF oznacza w języku angielskim: i jest to zaawansowany system do ochrony stron WWW. Działa automatycznie, czyli bez ingerencji użytkownika umożliwia automatyczną kontrolę nad wszystkimi przychodzącymi danymi w kierunku zabezpieczonej strony WWW.
Na czym polega schemat działania WAF?
Podstawowy model działania zabezpieczenia WAF opiera na czarnej i białej liście:
- czarna lista (ang. blac klist) – to lista elementów, które są uznawane za niebezpieczne i podlegają zablokowaniu przez WAF. System zabezpieczeń WAF może zmienić ich zawartość / sposób działania lub nie wykonywać żadnych działań i odnotować je w logach serwera.
- biała lista (ang white list) – to lista elementów, które uznawane są jako zaufane i będą akceptowane przez serwer. Nie zostaną zablokowane przez system WAF i zostaną dopuszczone do strony WWW.
Zasady działania oraz zawartość zarówno czarnej i białej listy są kontrolowane przez administratora serwera, którego zadaniem jest ustawienie konfiguracji WAF (najczęściej na podstawie analizy przychodzącego ruchu, logów oraz zachowania użytkowników). WAF pozwala na zaprojektowanie odpowiednich modeli zabezpieczeń.
Przed czym chroni WAF?
System zabezpieczeń WAF ochrania strony WWW przed najczęstszymi formami ataków hakerskich. Ataki takie mogą polegać na ingerencji w kod źródłowy stron WWW czy nieautoryzowanym dostępie do bazy danych, np. w celu kradzieży lub innych oszustw. Warto się zabezpieczyć przed takimi atakami i mogą nadszarpnąć reputację każdej firmy – narażają na straty nie tylko wizerunkowe, ale pieniężne.
WAF zabezpiecza przed takimi popularnymi atakami jak:
- Cross Site Scripting,
- Command Injection,
- SQL Injection,
- Directory Traversal.
Popularnym celem ataków są strony WWW oparte o systemy CMS takie jak WordPress – głównie ze względu na ich popularność zastosowania w sieci Internet. Hakerzy prześcigają się w poszukiwaniu nowych podatności w tych systemach CMS – jednak systemy WAF pozwalają zabezpieczyć się przed atakami opartymi na odnalezionych lukach w zabezpieczeniach systemów CMS.