ProHoster > بلوق > إدارة > بناء جديد من Nemesida WAF Free لـ NGINX

بناء جديد من Nemesida WAF Free لـ NGINX

بناء جديد من Nemesida WAF Free لـ NGINX
أصدرنا العام الماضي Nemesida WAF Free ، وهو وحدة ديناميكية لـ NGINX تمنع الهجمات على تطبيقات الويب. على عكس الإصدار التجاري ، الذي يعتمد على عمل التعلم الآلي ، فإن الإصدار المجاني يحلل الطلبات فقط من خلال طريقة التوقيع.

ميزات إصدار Nemesida WAF 4.0.129

حتى الإصدار الحالي ، كانت الوحدة الديناميكية Nemesida WAF تدعم Nginx Stable 1.12 و 1.14 و 1.16 فقط. يضيف الإصدار الجديد دعمًا لـ Nginx Mainline بدءًا من 1.17 و Nginx Plus بدءًا من 1.15.10 (R18).

لماذا نصنع WAF آخر؟


من المحتمل أن يكون NAXSI و mod_security أكثر وحدات WAF شيوعًا ، مع ترقية mod_security بشكل كبير بواسطة Nginx ، على الرغم من أنها كانت تستخدم في الأصل فقط في Apache2. كلا الحلين مجانيان ومفتوحان المصدر ولهما العديد من المستخدمين حول العالم. تتوفر مجموعات توقيع مجانية وتجارية بقيمة 500 دولار في السنة لأمان mod_security ، ومجموعة توقيع مجانية خارج الصندوق لـ NAXSI ، ويمكن أيضًا العثور على مجموعات قواعد إضافية مثل doxsi.

اختبرنا هذا العام NAXSI و Nemesida WAF Free. باختصار حول النتائج:

  • لا يقوم NAXSI بفك تشفير عنوان url المزدوج على ملف تعريف الارتباط
  • يستغرق إعداد NAXSI وقتًا طويلاً جدًا - بشكل افتراضي ، ستحظر إعدادات القاعدة الافتراضية معظم المكالمات عند العمل مع تطبيق ويب (التفويض ، أو تحرير ملف تعريف أو مادة ، أو المشاركة في الاستطلاعات ، وما إلى ذلك) ومن الضروري إنشاء قوائم استبعاد ، وهو أمر سيء للأمان. Nemesida WAF Free مع الإعدادات الافتراضية لم يؤدِ أي نتائج إيجابية خاطئة أثناء العمل مع الموقع.
  • عدد الهجمات الفائتة من قبل NAXSI أعلى بعدة مرات ، إلخ.

على الرغم من العيوب ، فإن NAXSI و mod_security لهما ميزتان على الأقل - المصدر المفتوح وعدد كبير من المستخدمين. نحن نؤيد فكرة الكشف عن الكود المصدري ، لكن حتى الآن لا يمكننا القيام بذلك بسبب المشاكل المحتملة مع "قرصنة" النسخة التجارية ، ولكن للتعويض عن هذا القصور ، نكشف بالكامل عن محتويات مجموعة التوقيع. نحن نقدر الخصوصية ونعرض التحقق من ذلك بنفسك باستخدام خادم وكيل.

ميزة Nemesida WAF Free:

  • قاعدة بيانات عالية الجودة للتوقيعات مع الحد الأدنى من عدد من التواقيع الإيجابية والخطأ السلبية.
  • التثبيت والتحديث من المستودع (سريع ومريح) ؛
  • أحداث بسيطة ومفهومة عن الحوادث ، وليس "عصيدة" مثل NAXSI ؛
  • مجاني تمامًا ، وليس له قيود على مقدار حركة المرور ، والمضيفين الظاهريين ، وما إلى ذلك.

في الختام ، سأقدم بعض الاستفسارات لتقييم عمل WAF (يوصى باستخدامه في كل منطقة: URL و ARGS و Headers & Body):

')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"] ')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"] union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"] ')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] ')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"] ')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] %5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//

إذا لم يتم حظر الطلبات ، فمن المرجح أن تفوت WAF الهجوم الحقيقي. قبل استخدام الأمثلة ، تأكد من أن WAF لا يحظر الطلبات المشروعة.

المصدر: www.habr.com

إضافة تعليق