Verlede jaar het ons Nemesida WAF Free vrygestel, 'n dinamiese module vir NGINX wat aanvalle op webtoepassings blokkeer. Anders as die kommersiële weergawe, wat gebaseer is op die werk van masjienleer, ontleed die gratis weergawe versoeke slegs deur die handtekeningmetode.
Kenmerke van die vrystelling van Nemesida WAF 4.0.129
Tot die huidige vrystelling het die Nemesida WAF dinamiese module slegs Nginx Stable 1.12, 1.14 en 1.16 ondersteun. Die nuwe vrystelling voeg ondersteuning by vir Nginx Mainline vanaf 1.17 en Nginx Plus vanaf 1.15.10 (R18).
Hoekom nog 'n WAF maak?
NAXSI en mod_security is waarskynlik die gewildste gratis WAF-modules, met mod_security wat sterk deur Nginx bevorder word, hoewel dit oorspronklik net in Apache2 gebruik is. Albei oplossings is gratis, oopbron en het baie gebruikers regoor die wêreld. Gratis en kommersiële $500/jaar handtekeningstelle is beskikbaar vir mod_security, 'n gratis out-of-the-box handtekeningstel vir NAXSI, en bykomende reëlstelle soos doxsi kan ook gevind word.
Hierdie jaar het ons NAXSI en Nemesida WAF Free getoets. Kortliks oor die resultate:
- NAXSI doen nie dubbele url-dekodeer op koekie nie
- NAXSI neem baie lank om op te stel - by verstek sal die verstekreëlinstellings die meeste van die oproepe blokkeer wanneer daar met 'n webtoepassing gewerk word (magtiging, wysiging van 'n profiel of materiaal, deelname aan opnames, ens.) en dit is nodig om genereer uitsluitingslyste, wat sleg is vir sekuriteit. Nemesida WAF Free met verstekinstellings het geen vals positiewes uitgevoer terwyl hulle met die webwerf gewerk het nie.
- die aantal gemiste aanvalle deur NAXSI is baie keer hoër, ens.
Ten spyte van die nadele, het NAXSI en mod_security ten minste twee voordele - oopbron en 'n groot aantal gebruikers. Ons ondersteun die idee om die bronkode bekend te maak, maar tot dusver kan ons dit nie doen nie weens moontlike probleme met die "piracy" van die kommersiële weergawe, maar om vir hierdie tekortkoming te vergoed, openbaar ons die inhoud van die handtekeningstel volledig. Ons waardeer privaatheid en bied aan om dit self te verifieer met behulp van 'n instaanbediener.
Kenmerk van Nemesida WAF Gratis:
- hoë-gehalte databasis van handtekeninge met 'n minimum aantal Vals Positiewe en Vals Negatiewe.
- installeer en bywerk vanaf die bewaarplek (dit is vinnig en gerieflik);
- eenvoudige en verstaanbare gebeure oor insidente, en nie "pap" soos NAXSI nie;
- heeltemal gratis, het geen beperkings op die hoeveelheid verkeer, virtuele gashere, ens.
Ten slotte sal ek 'n paar navrae gee om die werk van WAF te evalueer (dit word aanbeveel om in elk van die sones te gebruik: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
As die versoeke nie geblokkeer word nie, sal die WAF heel waarskynlik die regte aanval mis. Voordat u die voorbeelde gebruik, maak seker dat die WAF nie wettige versoeke blokkeer nie.
Bron: will.com