L'any passat vam llançar Nemesida WAF Free, un mòdul dinàmic per a NGINX que bloqueja els atacs a aplicacions web. A diferència de la versió comercial, que es basa en l'aprenentatge automàtic, la versió gratuïta només analitza les sol·licituds mitjançant el mètode de signatura.
Característiques del llançament de Nemesida WAF 4.0.129
Abans de la versió actual, el mòdul dinàmic Nemesida WAF només suportava Nginx Stable 1.12, 1.14 i 1.16. La nova versió afegeix suport per a Nginx Mainline, a partir de l'1.17, i Nginx Plus, a partir de l'1.15.10 (R18).
Per què fer un altre WAF?
NAXSI i mod_security són probablement els mòduls WAF gratuïts més populars, i Nginx promou activament mod_security, tot i que inicialment només s'utilitzava a Apache2. Ambdues solucions són gratuïtes, de codi obert i tenen molts usuaris arreu del món. Per a mod_security, els conjunts de signatures gratuïts i comercials estan disponibles per 500 dòlars anuals, per a NAXSI hi ha un conjunt gratuït de signatures fora de la caixa i també podeu trobar conjunts de regles addicionals, com ara doxsi.
Aquest any hem provat el funcionament de NAXSI i Nemesida WAF Free. Breument sobre els resultats:
- NAXSI no descodifica URL doble a les galetes
- NAXSI triga molt de temps a configurar-se; per defecte, la configuració de la regla predeterminada bloquejarà la majoria de sol·licituds quan es treballa amb una aplicació web (autorització, edició d'un perfil o material, participació en enquestes, etc.) i és necessari generar llistes d'excepcions. , que té un mal efecte en la seguretat. Nemesida WAF Free amb la configuració predeterminada no va fer cap fals positiu mentre treballava amb el lloc.
- el nombre d'atacs perduts per a NAXSI és moltes vegades més gran, etc.
Malgrat les deficiències, NAXSI i mod_security tenen almenys dos avantatges: codi obert i un gran nombre d'usuaris. Donem suport a la idea de revelar el codi font, però encara no podem fer-ho a causa de possibles problemes amb la "pirateria" de la versió comercial, però per compensar aquesta mancança, estem revelant completament el contingut del conjunt de signatures. Valorem la privadesa i us suggerim que comproveu-ho vosaltres mateixos mitjançant un servidor intermediari.
Característiques de Nemesida WAF Free:
- base de dades de signatures d'alta qualitat amb un nombre mínim de falsos positius i falsos negatius.
- instal·lació i actualització des del dipòsit (és ràpid i còmode);
- esdeveniments senzills i entenedors sobre incidents, i no un "embolic" com NAXSI;
- totalment gratuït, no té restriccions sobre la quantitat de trànsit, amfitrions virtuals, etc.
En conclusió, donaré diverses consultes per avaluar el rendiment de WAF (es recomana utilitzar-lo en cadascuna de les zones: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Si les sol·licituds no es bloquegen, és molt probable que el WAF perdi l'atac real. Abans d'utilitzar els exemples, assegureu-vos que el WAF no està bloquejant sol·licituds legítimes.
Font: www.habr.com