ባለፈው አመት Nemesida WAF Free አውጥተናል፣ ለNGINX ተለዋዋጭ ሞጁል በድር መተግበሪያዎች ላይ የሚደርሱ ጥቃቶችን የሚከለክል። በማሽን መማር ላይ ከተመሠረተው የንግድ ሥሪት በተለየ፣ ነፃው ሥሪት የፊርማ ዘዴን በመጠቀም ጥያቄዎችን ይመረምራል።
የNemesida WAF 4.0.129 መለቀቅ ባህሪያት
ከአሁኑ ልቀት በፊት፣ Nemesida WAF ተለዋዋጭ ሞጁል የሚደግፈው Nginx Stable 1.12፣ 1.14 እና 1.16 ብቻ ነው። አዲሱ ልቀት ለNginx Mainline፣ ከ1.17 ጀምሮ፣ እና Nginx Plus፣ ከ1.15.10(R18) ጀምሮ ድጋፍን ይጨምራል።
ለምን ሌላ WAF ፍጠር?
NAXSI እና mod_security ምናልባት በጣም ታዋቂው የ WAF ሞጁሎች ናቸው፣ እና mod_security በ Nginx በንቃት ይተዋወቃል፣ ምንም እንኳን መጀመሪያ ላይ በ Apache2 ውስጥ ብቻ ጥቅም ላይ ውሏል። ሁለቱም መፍትሄዎች ነጻ ናቸው ክፍት ምንጭ እና በዓለም ዙሪያ ብዙ ተጠቃሚዎች አሏቸው። ለሞድ_ሴኪዩሪቲ፣ ነፃ እና የንግድ ፊርማ ስብስቦች በዓመት 500 ዶላር ይገኛሉ፣ ለ NAXSI ከሳጥኑ ውስጥ ነፃ የሆነ የፊርማ ስብስብ አለ፣ እና እንደ doxsi ያሉ ተጨማሪ የሕጎች ስብስቦችን ማግኘት ይችላሉ።
በዚህ አመት የNAXSI እና Nemesida WAF Freeን አሠራር ሞክረናል። ስለ ውጤቶቹ በአጭሩ፡-
- NAXSI በኩኪዎች ውስጥ ድርብ ዩአርኤል መፍታት አይሰራም
- NAXSI ለማዋቀር በጣም ረጅም ጊዜ ይወስዳል - በነባሪነት የደንቡ ቅንጅቶች ከድር መተግበሪያ ጋር ሲሰሩ አብዛኛዎቹን ጥያቄዎች ያግዳቸዋል (ፈቃድ ፣ መገለጫ ወይም ቁሳቁስ ፣ በዳሰሳ ጥናቶች ውስጥ መሳተፍ ፣ ወዘተ.) እና ልዩ ዝርዝሮችን መፍጠር አስፈላጊ ነው። , ይህም በደህንነት ላይ መጥፎ ተጽዕኖ ያሳድራል. Nemesida WAF ነፃ ከነባሪ ቅንጅቶች ጋር አንድም የውሸት አዎንታዊ ውጤት አላስገኘም።
- ለ NAXSI ያመለጡ ጥቃቶች ብዛት ብዙ እጥፍ ይበልጣል ወዘተ.
ድክመቶቹ ቢኖሩም NAXSI እና mod_security ቢያንስ ሁለት ጥቅሞች አሉት - ክፍት ምንጭ እና ብዙ ቁጥር ያላቸው ተጠቃሚዎች። የምንጭ ኮድን የመግለጽ ሀሳብን እንደግፋለን ፣ ግን ይህንን ማድረግ አንችልም ምክንያቱም ከንግድ ሥሪት “ወንበዴ” ጋር ሊሆኑ በሚችሉ ችግሮች ምክንያት ፣ ግን ይህንን ጉድለት ለማካካስ ፣ የፊርማውን ስብስብ ይዘቶች ሙሉ በሙሉ እንገልፃለን ። ለግላዊነት ዋጋ እንሰጣለን እና ይህንን እራስዎ ተኪ አገልጋይ በመጠቀም እንዲያረጋግጡ እንጠቁማለን።
የNemesida WAF ነጻ ባህሪያት፡-
- ከፍተኛ ጥራት ያለው የፊርማ ዳታቤዝ በትንሹ የውሸት አዎንታዊ እና የውሸት አሉታዊ ብዛት።
- ከማከማቻው መጫን እና ማዘመን (ፈጣን እና ምቹ ነው);
- ስለ ክስተቶች ቀላል እና ሊረዱ የሚችሉ ክስተቶች, እና እንደ NAXSI ያለ "ውዥንብር" አይደለም;
- ሙሉ በሙሉ ነፃ፣ በትራፊክ መጠን፣ ምናባዊ አስተናጋጆች፣ ወዘተ ላይ ምንም ገደብ የለዉም።
በማጠቃለያው የ WAFን አፈጻጸም ለመገምገም በርካታ መጠይቆችን እሰጣለሁ (በእያንዳንዱ ዞኖች ለመጠቀም ይመከራል URL፣ ARGS፣ Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
ጥያቄዎቹ ካልተከለከሉ፣ ምናልባት WAF እውነተኛውን ጥቃት ሊያመልጠው ይችላል። ምሳሌዎችን ከመጠቀምዎ በፊት WAF ህጋዊ ጥያቄዎችን እየከለከለ አለመሆኑን ያረጋግጡ።
ምንጭ: hab.com