Миналата година пуснахме Nemesida WAF Free, динамичен модул за NGINX, който блокира атаки срещу уеб приложения. За разлика от комерсиалната версия, която се основава на работата на машинното обучение, безплатната версия анализира заявките само по метода на подписа.
Характеристики на изданието на Nemesida WAF 4.0.129
До текущата версия динамичният модул Nemesida WAF поддържаше само Nginx Stable 1.12, 1.14 и 1.16. Новата версия добавя поддръжка за Nginx Mainline от 1.17 и Nginx Plus от 1.15.10 (R18).
Защо да правите още един WAF?
NAXSI и mod_security са може би най-популярните безплатни WAF модули, като mod_security е силно насърчаван от Nginx, въпреки че първоначално е бил използван само в Apache2. И двете решения са безплатни, с отворен код и имат много потребители по целия свят. Безплатни и комерсиални комплекти подписи за $500/година са достъпни за mod_security, безплатен комплект подписи извън кутията за NAXSI и допълнителни набори правила като doxsi също могат да бъдат намерени.
Тази година тествахме NAXSI и Nemesida WAF Free. Накратко за резултатите:
- NAXSI не прави двойно декодиране на url на бисквитката
- Настройката на NAXSI отнема много време - по подразбиране настройките на правилата по подразбиране ще блокират повечето повиквания при работа с уеб приложение (упълномощаване, редактиране на профил или материал, участие в анкети и т.н.) и е необходимо да генерират списъци с изключения, което е лошо за сигурността. Nemesida WAF Free с настройки по подразбиране не даде никакви фалшиви положителни резултати по време на работа със сайта.
- броят на пропуснатите атаки от NAXSI е в пъти по-голям и т.н.
Въпреки недостатъците, NAXSI и mod_security имат поне две предимства - отворен код и голям брой потребители. Подкрепяме идеята за разкриване на изходния код, но засега не можем да направим това поради възможни проблеми с „пиратството“ на комерсиалната версия, но за да компенсираме този недостатък, разкриваме изцяло съдържанието на комплекта подписи. Ние ценим поверителността и предлагаме да проверите това сами, като използвате прокси сървър.
Характеристика на Nemesida WAF Free:
- висококачествена база данни от подписи с минимален брой фалшиви положителни и фалшиви отрицателни.
- инсталиране и актуализиране от хранилището (това е бързо и удобно);
- прости и разбираеми събития за инциденти, а не "каша" като NAXSI;
- напълно безплатно, няма ограничения за количеството трафик, виртуални хостове и др.
В заключение ще дам няколко въпроса за оценка на работата на WAF (препоръчително е да се използва във всяка от зоните: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ако заявките не са блокирани, най-вероятно WAF ще пропусне истинската атака. Преди да използвате примерите, уверете се, че WAF не блокира законни заявки.
Източник: www.habr.com