GH GambleHub

वेब एप्लिकेशन फ़ायरवॉल और हमलों से सुरक्षा

संक्षिप्त सारांश

WAF/WAAP आवेदन स्तर पर HTTP (S )/WebSocket यातायात को नियंत्रित करता है: कमजोरियों का शोषण (OWASP टॉप 10), प्रमाणीकरण, स्कैनिंग, स्वचालित बॉट ट्रैफिक और L7 DDos। आधुनिक स्टैक एक एंटी-बॉट इंजन, एपीआई सुरक्षा, दर सीमित, आभासी पैच, साथ ही सीआई/सीडी के साथ तंग एकीकरण द्वारा पूरक है ताकि नियम कोड के रूप में सुरक्षित रूप से रोल आउट हो जाएं।

भूमिकाएँ और वास्तुकला में स्थान

एज/सीडीएन डब्ल्यूएएफ (क्लाउड): कम विलंबता, वैश्विक प्रतिष्ठा/प्रबंधित नियम, एल 7 डीडीओएस।

स्व-होस्ट WAF (ऑन-प्रेम/K8s): आंतरिक नेटवर्क के साथ गहरा एकीकरण, ठीक ट्यूनिंग।

WAAP दृष्टिकोण: WAF + API-गेटवे फ़ंक्शन (स्कीमा-सत्यापन, authZ), एंटी-बॉट, L7 DOS, mTLS।

समावेश योजनाएँ: आवेदन से पहले रिवर्स-प्रॉक्सी; Ingress में नियंत्रक; सेवा मेष फ़िल्टर; साइडकार।

संरक्षण मॉडल

नकारात्मक सुरक्षा (हस्ताक्षर/सीआरएस): ज्ञात तकनीकों का तेज कवरेज (एसक्यूएलआई/एक्सएसएस/एसएसआरएफ/आरसीई)।

सकारात्मक सुरक्षा (अनुमति-सूची): केवल "वैध" अनुरोधों (विधियों/पथ/स्कीमा/सामग्री प्रकार) की अनुमति दें।

वर्चुअल पैचिंग: कोड फिक्स के लिए शोषण का ऑनलाइन अवरोधन।

संदर्भ: स्थिर सामग्री, एपीआई, प्रशासन, डाउनलोड, वेबहूक के लिए विभिन्न नीतियां।

विशिष्ट खतरे और उपाय

OWASP टॉप 10: SQLi, XSS, IDOR/BOLA, SSRF, टेम्पलेट इंजेक्शन, मरुस्थलीकरण, मिसकॉनफिग्स।

L7 DDoS: धीमी गति से अनुरोध/हेडर, गर्म समापन बिंदुओं के लिए फटना - सुरक्षा: दर-सीमा, चुनौती, ऑटो-ब्लॉक।

बॉट्स/स्क्रेपर्स: व्यवहार, आवृत्ति, "अमानवीय" पैटर्न, डिवाइस फिंगरप्रिंटिंग, गतिशील टोकन।

क्रेडेंशियल स्टफिंग/एटीओ: लॉगिन का अवरोधन/गणना IP/ASN द्वारा विसंगति, वेग नियम, अतिरिक्त कारक।

डाउनलोड: टाइप/साइज ़/मल्टीस्कैन एंटीवायरस, मीडिया ज़ोन में "इमेज-ओनली"।

एपीआई/ग्राफ़क्यूएल: स्कीमा-सत्यापन, 'मैक्सडेप्थ '/' मैक्सकॉस्ट', अप्रकाशित वाइल्डकार्ड का निषेध, तरीकों और हेडर का नियंत्रण।

नीतियाँ और नियम डिजाइनर

किसी भी अनुप्रयोग के लिए मूल कंकाल:

1. परिवहन: टीएलएस 1। 2+/1. 3, एचएसटीएस, संवेदनशील बैकएंड पर एमटीएलएस।

2. विधियाँ: अनुमति-सूची ('GET, POST, PUST, DELETE, PATCH, विकल्प') प्रति संसाधन अद्वितीय है।

3. पथ: सख्त मुखौटे/regexps; व्यवस्थापक/बिलिंग - एक अलग उपसर्ग/डोमेन के लिए।

4. हेडर: सफेद सूची, खतरनाक ('एक्स-ओरिजिनल-यूआरएल', गैर-मानक) का निषेध अनावश्यक रूप से।

5. निकाय: मार्ग के साथ JSON-केवल/मल्टीपार्ट-केवल; 'सामग्री-लंबाई' को सीमित करता है, "लॉगिन/खोज" के लिए बायनेरीज़का ब्लॉक।

6. दर सीमा: प्रति-आईपी/एएसएन/कुंजी/संगठन; "महंगे" अनुरोधों पर अलग सीमाएँ।

7. एंटी-बॉट: व्यवहार स्कोरिंग, "गैर-परेशान" चुनौतियां, ग्लूइंग पहचान (कुकी टोकन, एफपी जेए 3/टीएलएस)।

8. सीआरएस/प्रबंधित नियम: सक्षम, एफपी के तहत ट्यूनिंग।

9. Wirth पैच: ज्ञात मापदंडों/हमले के पैटर्न को तेजी से अवरुद्ध करना।

10. Logs/metrics: समान प्रारूप, 'trace _ id' के साथ सहसंबंध, FP/TP रिपोर्ट।

ट्यूनिंग अभ्यास: झूठी सकारात्मकता को कैसे कम करें

ट्रैफिक सेंपलिंग के साथ डिटेक्ट-ओनली/काउंट-मोड (छाया) में नए नियम चलाएं।

संदर्भ के अनुसार अपवाद बनाएँ ('पथ =/खोज', 'param = q' विशेष अक्षर स्वीकारें).

ज़ोन को विभाजित करें: "सार्वजनिक पृष्ठ" बनाम "संवेदनशील संचालन" (आक्रामकता की दहलीज अलग है)।

कन्वेयर: नियम → मंचन → कैनरी (1-5%) → प्रोड; एफपी मैट्रिक्स द्वारा रोलबैक।

प्रतिगमन जांच के लिए "गलत" पेलोड की निर्देशिका बनाए रखें.

DevSecOps में एकीकरण

सीआई: गिट में स्थिर नियम; परीक्षण: हमले निर्देशिका से वास्तविक अनुरोधों + सिंथेटिक्स को फिर से फिर

सीडी: कैनरी गणना, झंडे की सुविधा; "राजनीतिक" निगरानी (नियम परिवर्तन = परिवर्तन)

RASP और SAST/DAST: WAF पूरक लेकिन कोड सुधार को प्रतिस्थापित नहीं करता है।

अवलोकन और एसएलओ

मेट्रिक्स:
  • WAF के माध्यम से p95/99 विलंबता; अवरुद्ध/चूक का अनुपात; शेयर प्रबंधित नियम बनाम कस्टम; "हमला दर"।
  • एंटी-बॉट: चुनौतियों/परिवर्तन, एफपी/टीपी का हिस्सा।
  • L7 DDoS: फट-दर, ऑटो-शमन कार्यक्रम।
एसएलओ उदाहरण:
  • "0 से ज्यादा नहीं। अधिकृत संचालन/दिन पर 5% एफपी।"
  • "p95 ओवरहेड WAF ≤ 10 мс"।
  • "आभासी पैच TTR ≤ 30 मिनट।"
  • अलर्ट: नियम जारी होने के बाद 4xx/5xx स्पाइक; एफपी वृद्धि; कैप्चा मार्ग में गिरावट; JWKS/mTLS सत्यापन का क्षरण।

नमूना विन्यास

ModSecurity + OWASP CRS (Nginx)

nginx
Enabling ModSecurity modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main. conf;
'/etc/nginx/modsec/main। conf ': 
apache
SecRuleEngine On
Include /usr/local/owasp-modsecurity-crs/crs-setup. conf
Include /usr/local/owasp-modsecurity-crs/rules/.conf

Example of an exception for a search parameter
SecRule REQUEST_URI "@beginsWith /search" "id:900100,phase:1,pass,nolog,ctl:ruleRemoveByTag=attack-xss"
SecRule REQUEST_URI "@beginsWith /search" "id:900101,phase:2,pass,ctl:ruleRemoveTargetById=942100; ARGS:q"

AWS WAF (JSON, दर सीमा + देश सूची ब्लॉक)

json
{
"Name": "prod-web-acl",
"Scope": "CLOUDFRONT",
"DefaultAction": { "Allow": {} },
"Rules": [
{
"Name": "BurstLogin",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"AggregateKeyType": "IP",
"ScopeDownStatement": { "ByteMatchStatement": {
"SearchString": "/login",
"FieldToMatch": { "UriPath": {} },
"TextTransformations": [{ "Priority": 0, "Type": "NONE" }],
"PositionalConstraint": "CONTAINS"
}}
}
},
"Action": { "Block": {} },
"VisibilityConfig": { "MetricName": "BurstLogin", "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true }
}
]
}

क्लाउडफ्लेयर (अभिव्यक्ति नियम)


(http. request. uri. path contains "/admin" and ip. geoip. country ne "UA")
or (http. request. uri. path eq "/login" and cf. threat_score > 10)
or (http. request. uri. path contains "/api" and not http. request. headers["authorization"][0] contains "Bearer ")

NGINX: सरल विधि/शरीर नियम

nginx location /api/withdraw {
limit_except POST { deny all; }
if ($request_method = POST) {
set $cl $http_content_length;
if ($ cl = "") {return 411;} # length is required if ($ cl> 1048576) {return 413;} # ≤ 1MB add_header X-Idempotency-Required "true";
}
}

ग्राफक्यूएल: पुलिसकर्मी

'मैक्सडेप्थ = 6', 'मैक्सकॉस्ट = 1000', बिक्री में 'स्कीमा' का निषेध, संचालन की अनुमति-सूची, हेडर का सत्यापन ('सामग्री-प्रकार: एप्लिकेशन/जेसन')।

एंटी-बॉट और मैन-फ्रेंडली चेक

अदृश्य चुनौती (कैप्चा के बिना जेएस चुनौतियां), "महंगे" रास्तों पर प्रूफ-ऑफ-वर्क, व्यवहार विश्लेषण (आंदोलनों/समय)।

TLS/JA3 फिंगरप्रिंटिंग, आईपी/एएसएन प्रतिष्ठा, प्रॉक्सी/वीपीएन सूची (उचित सीमा के भीतर)।

रूपों पर जाल (हनीपोट क्षेत्र), गतिशील रूप/सत्र टोकन।

गोपनीयता सुरक्षा: ट्रैकिंग, पारदर्शी नीतियों, ऑप्ट-आउट विकल्पों को कम करना।

फोकस API

स्कीमा-पहला: सत्यापन के लिए OpenAPI/JSON स्कीमा; अतिरिक्त क्षेत्रों का निषेध।

औथ: अनिवार्य वाहक JWT या mTLS; без 'प्राधिकरण' को अस्वीकार करें।

दर/कोटा: प्रति-कुंजी/प्रति-org; यदि पार हो - "सॉफ्ट ब्लॉक "/धीमा।

वेबहूक: एचएमएसी हस्ताक्षर, 'टाइमस्टैम्प + नॉनस', शॉर्ट रिसेप्शन विंडो।

GraphQL: ऊपर लिमिटर देखें; ऑपरेशन का नाम/लेबल लॉग करें।

डाउनलोड और मीडिया

आकार सीमा, श्वेतलिस्ट MIME/एक्सटेंशन, नाम बदलने वाली फ़ाइलें;

एवी स्कैन (मल्टी-इंजन), इमेजमैजिक पॉलिसी (खतरनाक डिकोडर के बिना);

एक अलग डोमेन पर अंगूठा सेवा, केवल-छवियों की सेवा करें।

प्रशासकों और महत्वपूर्ण क्षेत्रों की सुरक्षा

सामान्य एएसएन/देशों से अलग डोमेन/पथ, एमटीएलएस/प्रतिबंध, हार्ड रेट लिमिट, जेआईटी एक्सेस, आईपी अनुमति-सूची।

अतिरिक्त संकेत (डिवाइस आसन, जोखिम स्कोर) → को दूसरी जांच की आवश्यकता होती है।

संचालन, घटनाएँ और आभासी पैच

रनबुक: ब्लॉक नियमों की त्वरित रिहाई, टीटीएल प्रतिबंध, कमांड अधिसूचना।

रोलबैक मानदंड: वृद्धि 4xx/5xx> सीमा, FP> सीमा, p95 latency↑।

पोस्टमार्टम: प्रतिगमन नियम सेट के लिए परीक्षण जोड़ें, SIEM के लिए SIGMA अलर्ट करें।

अनुपालन और गोपनीयता

लॉग न्यूनतम: पथ/विधि/कोड/ब्लॉक कारण/पहचानकर्ता; PII/शरीर रहस्य संग्रहीत न करें।

नीति लॉग प्रतिधारण अवधि; पहुंच - भूमिकाओं द्वारा; डिस्क पर एन्क्रिप्शन।

iGaming/fintech के लिए विशेषताएँ

भुगतान/भुगतान/पर्स: प्रति-org कोटा, mTLS से PSP, रास्तों की सख्त अनुमति-सूची, PSP वेबहूक के लिए HMAC।

एटीओ/बोनस दुरुपयोग: लॉगिन/पंजीकरण/प्रचार कोड, व्यवहार सीमा और एंटी-बॉट के लिए वेग नियम।

सामग्री प्रदाता/स्टूडियो: व्यक्तिगत डोमेन/नीतियां, आईपी/एएसएन अनुमति-सूची, WAF प्रभाव पर समय-से-बटुआ निगरानी/रूपांतरण।

क्षेत्रीय आवश्यकताएं: भू-नीतियां (देश/क्षेत्र), जीडीपीआर के लिए उपचार पारदर्शिता।

कार्यान्वयन रोडमैप

1. क्षेत्रों की सूची (सार्वजनिक, एपीआई, व्यवस्थापक पैनल, डाउनलोड)।

2. आधार प्रोफ़ाइल: टीएलएस, अनुमति-सूची विधियों/पथ, प्रबंधित नियम/सीआरएस।

3. संवेदनशील रास्तों पर दर सीमा + एंटी-बॉट।

4. आभासी पैच और तत्काल नियम प्रक्रिया (SLA ≤ 30 मिनट)।

5. नियमों, मंचन/कैनरी/छाया-मोड के लिए सीआई/सीडी।

6. टेलीमेट्री, एसएलओ, नियमों के प्रतिगमन परीक्षण।

7. अपवादों की आवधिक समीक्षा और बाईपास की "सफाई"।

सामान्य गलतियाँ

"सभी सीआरएस को अधिकतम चालू" → एफपी हिमस्खलन और टीम बर्नआउट।

बिना कैनरी और छाया मोड के नियम।

कोई विभाजन नहीं: हर चीज के लिए एक नीति।

एपीआई/ग्राफक्यूएल विशिष्टताओं की अनदेखी (स्कीमा/सीमा)।

सहसंबंध के बिना लॉग ('ट्रेस _ आईडी') और गुणवत्ता मेट्रिक्स के बिना।

FAQ

WAF सुरक्षित कोड की जगह लेता है?

नहीं, यह नहीं है। यह एक शमन परत और एक "आभासी पैच" है, लेकिन कोड में तकनीकी ऋण को समाप्त किया जाना चाहिए।

यह कैसे समझें कि यह हार्ड ब्लॉक चालू करने का समय है?

जब छाया मोड रिपोर्ट कम एफपी दिखाती है और नियमों के प्रतिगमन परीक्षण होते हैं।

क्या मुझे एपीआई के लिए एक अलग डब्ल्यूएएफ की आवश्यकता है?

एपीआई गेटवे के साथ बेहतर WAAP/एकीकरण: योजना, सीमा, प्रमाणीकरण, वेबहुक हस्ताक्षर।

कुल

कुशल WAF/WAAP बुनियादी CRS/प्रबंधित नियम, सकारात्मक मॉडल, एंटी-बॉट, सीमा और आभासी पैच का एक संयोजन है, जो DevSecOps प्रक्रियाओं, टेलीमेट्री और स्पष्ट SLO O S द्ट द्वारा द्वारा समर्थित है। यह दृष्टिकोण कमजोरियों, स्वचालित हमलों के प्रतिरोध और यूएक्स और प्रदर्शन पर एक अनुमानित प्रभाव प्रदान करता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।