Keçən il biz Nemesida WAF Free-ni, NGINX üçün veb proqramlara hücumları bloklayan dinamik modulu buraxdıq. Maşın öyrənməsinə əsaslanan kommersiya versiyasından fərqli olaraq, pulsuz versiya yalnız imza metodundan istifadə edərək sorğuları təhlil edir.
Nemesida WAF 4.0.129-un buraxılış xüsusiyyətləri
Cari buraxılışdan əvvəl Nemesida WAF dinamik modulu yalnız Nginx Stable 1.12, 1.14 və 1.16-nı dəstəkləyirdi. Yeni buraxılış 1.17-dən başlayaraq Nginx Mainline və 1.15.10-dan (R18) başlayaraq Nginx Plus üçün dəstək əlavə edir.
Niyə başqa bir WAF yaradın?
NAXSI və mod_security, ehtimal ki, ən populyar pulsuz WAF modullarıdır və mod_security Nginx tərəfindən aktiv şəkildə təbliğ olunur, baxmayaraq ki, əvvəlcə yalnız Apache2-də istifadə edilmişdir. Hər iki həll pulsuz, açıq mənbədir və bütün dünyada çoxlu istifadəçisi var. mod_security üçün pulsuz və kommersiya imza dəstləri ildə 500 dollara, NAXSI üçün qutudan çıxarılan pulsuz imza dəsti var və siz doxsi kimi əlavə qaydalar dəstlərini də tapa bilərsiniz.
Bu il biz NAXSI və Nemesida WAF Free-nin işini sınaqdan keçirdik. Nəticələr haqqında qısaca:
- NAXSI kukilərdə ikiqat URL deşifrəsini etmir
- NAXSI-nin konfiqurasiyası çox uzun vaxt aparır - standart olaraq, standart qayda parametrləri veb tətbiqi ilə işləyərkən əksər sorğuları bloklayacaq (icazə, profil və ya materialı redaktə etmək, sorğularda iştirak etmək və s.) və istisna siyahıları yaratmaq lazımdır. , bu da təhlükəsizliyə pis təsir edir. Defolt parametrləri olan Nemesida WAF Pulsuz saytla işləyərkən bir dənə də yanlış müsbət nəticə vermədi.
- NAXSI üçün buraxılmış hücumların sayı dəfələrlə çoxdur və s.
Çatışmazlıqlara baxmayaraq, NAXSI və mod_security ən azı iki üstünlüyə malikdir - açıq mənbə və çoxlu sayda istifadəçi. Mənbə kodunu açıqlamaq ideyasını dəstəkləyirik, lakin kommersiya versiyasının “piratlığı” ilə bağlı mümkün problemlər səbəbindən bunu hələ edə bilmirik, lakin bu çatışmazlığı kompensasiya etmək üçün imza dəstinin məzmununu tam şəkildə açıqlayırıq. Biz məxfiliyi qiymətləndiririk və proksi serverdən istifadə edərək bunu özünüz yoxlamağı təklif edirik.
Nemesida WAF Pulsuz xüsusiyyətləri:
- minimum sayda Yanlış Müsbət və Yalan Mənfi olan yüksək keyfiyyətli imza bazası.
- depodan quraşdırma və yeniləmə (sürətli və rahatdır);
- hadisələr haqqında sadə və başa düşülən hadisələr, NAXSI kimi “qarışıqlıq” deyil;
- tamamilə pulsuzdur, trafikin miqdarında heç bir məhdudiyyət yoxdur, virtual hostlar və s.
Sonda WAF-ın işini qiymətləndirmək üçün bir neçə sorğu verəcəyəm (onu zonaların hər birində istifadə etmək tövsiyə olunur: URL, ARGS, Başlıqlar və Bədən):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Əgər sorğular bloklanmazsa, çox güman ki, WAF real hücumu qaçıracaq. Nümunələrdən istifadə etməzdən əvvəl WAF-ın qanuni sorğuları bloklamadığından əmin olun.
Mənbə: www.habr.com