Prošle godine smo izdali Nemesida WAF Free, dinamički modul za NGINX koji blokira napade na web aplikacije. Za razliku od komercijalne verzije, koja se temelji na mašinskom učenju, besplatna verzija analizira zahtjeve samo pomoću metode potpisa.
Značajke izdanja Nemesida WAF 4.0.129
Prije trenutnog izdanja, Nemesida WAF dinamički modul podržavao je samo Nginx Stable 1.12, 1.14 i 1.16. Novo izdanje dodaje podršku za Nginx Mainline, počevši od 1.17, i Nginx Plus, počevši od 1.15.10 (R18).
Zašto napraviti još jedan WAF?
NAXSI i mod_security su vjerovatno najpopularniji besplatni WAF moduli, a mod_security aktivno promovira Nginx, iako se u početku koristio samo u Apache2. Oba rješenja su besplatna, otvorenog koda i imaju mnogo korisnika širom svijeta. Za mod_security, besplatni i komercijalni setovi potpisa dostupni su za 500 USD godišnje, za NAXSI postoji besplatni set potpisa iz kutije, a možete pronaći i dodatne skupove pravila, kao što je doxsi.
Ove godine smo testirali rad NAXSI i Nemesida WAF Free. Ukratko o rezultatima:
- NAXSI ne vrši dekodiranje dvostrukog URL-a u kolačićima
- NAXSI-ju je potrebno jako dugo da se konfiguriše - podrazumevano, podrazumevane postavke pravila će blokirati većinu zahteva prilikom rada sa web aplikacijom (autorizacija, uređivanje profila ili materijala, učešće u anketama, itd.) i potrebno je generisati liste izuzetaka , što loše utiče na sigurnost. Nemesida WAF Free sa zadanim postavkama nije dao niti jedan lažno pozitivan tokom rada sa sajtom.
- broj propuštenih napada za NAXSI je višestruko veći, itd.
Uprkos nedostacima, NAXSI i mod_security imaju najmanje dvije prednosti - otvoreni kod i veliki broj korisnika. Podržavamo ideju otkrivanja izvornog koda, ali to još ne možemo učiniti zbog mogućih problema s "piratijom" komercijalne verzije, ali da bismo nadoknadili ovaj nedostatak, u potpunosti otkrivamo sadržaj skupa potpisa. Cijenimo privatnost i predlažemo da to sami provjerite koristeći proxy server.
Karakteristike Nemesida WAF Free:
- visokokvalitetna baza potpisa sa minimalnim brojem lažno pozitivnih i lažno negativnih.
- instalacija i ažuriranje iz spremišta (brzo je i zgodno);
- jednostavni i razumljivi događaji o incidentima, a ne "nered" kao NAXSI;
- potpuno besplatno, nema ograničenja u količini prometa, virtuelnim hostovima itd.
U zaključku, dat ću nekoliko upita za procjenu performansi WAF-a (preporučljivo je koristiti ga u svakoj od zona: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ako zahtjevi nisu blokirani, onda će WAF najvjerovatnije propustiti pravi napad. Prije korištenja primjera, uvjerite se da WAF ne blokira legitimne zahtjeve.
izvor: www.habr.com