У мінулым годзе мы выпусцілі Nemesida WAF Free — дынамічны модуль для NGINX, які блакуе напады на вэб-прыкладанні. У адрозненне ад камерцыйнай версіі, заснаванай на працы машыннага навучання, бясплатная версія аналізуе запыты толькі сігнатурным метадам.
Асаблівасці рэлізу Nemesida WAF 4.0.129
Да бягучага рэлізу дынамічны модуль Nemesida WAF падтрымліваў толькі Nginx Stable 1.12, 1.14 і 1.16. У новым рэлізе дададзеная падтрымка Nginx Mainline, пачынальна з 1.17, і Nginx Plus, пачынальна з 1.15.10 (R18).
Нашто рабіць яшчэ адзін WAF?
NAXSI і mod_security, мусіць, самыя папулярныя бясплатныя модулі WAF, прычым mod_security актыўна прасоваецца сіламі Nginx, хоць, першапачаткова, выкарыстоўваўся толькі ў Apache2. Абодва рашэнні бясплатныя, маюць адкрыты зыходны код і мноства карыстальнікаў ва ўсім свеце. Для mod_security даступны бясплатны і камерцыйны, за $ 500 у год, наборы сігнатур, для NAXSI - бясплатны набор сігнатур "са скрынкі", таксама можна знайсці дадатковыя наборы правілаў, такія як doxsi.
У гэтым годзе мы правялі тэсціраванне працы NAXSI і Nemesida WAF Free. Калі сцісла аб выніках:
- NAXSI не выконвае падвойны URL-decode у cookie
- NAXSI вельмі доўга наладжваць - па змаўчанні дэфолтныя налады правіл будуць блакаваць большую частку зваротаў пры працы з вэб-дадаткам (аўтарызацыю, рэдагаванне профіля або матэрыялу, удзел у апытаннях і г.д.) і неабходна генераваць спісы выключэнняў, што дрэнна адбіваецца на бяспецы. Nemesida WAF Free з наладамі па змаўчанні падчас працы з сайтам не выканала ніводнага ілжывага спрацоўвання.
- колькасць пропускаў нападаў у NAXSI у разы вышэй і г.д.
Нягледзячы на недахопы, NAXSI і mod_security маюць, як мінімум, дзве перавагі – адчынены зыходны код і вялікая колькасць карыстачоў. Мы падтрымліваем ідэю расчынення зыходнага кода, але пакуль не можам гэтага зрабіць з-за магчымых праблем з «пірацтвам» камерцыйнай версіі, але каб кампенсаваць гэты недахоп – цалкам раскрываем змесціва набору сігнатур. Мы шануем канфідэнцыяльнасць і прапануем у гэтым пераканацца самастойна з дапамогай проксі-сервера.
Асаблівасць Nemesida WAF Free:
- якасная база сігнатур з мінімальнай колькасцю False Positive і False Negative.
- усталёўка і абнаўленне з рэпазітара (гэта хутка і зручна);
- простыя і зразумелыя падзеі аб інцыдэнтах, а не "каша", як у NAXSI;
- цалкам бясплатны, не мае абмежаванняў па колькасці трафіку, віртуальных хастоў і т.д.
У зняволенні прывяду некалькі запытаў для адзнакі працы WAF (рэкамендуецца выкарыстоўваць у кожнай з зон: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Калі запыты не будуць заблакаваныя - то, хутчэй за ўсё, WAF прапусціць і рэальны напад. Перад выкарыстаннем прыкладаў упэўніцеся, што WAF не блакуе легітымныя запыты.
Крыніца: habr.com