Minulý rok jsme vydali Nemesida WAF Free, dynamický modul pro NGINX, který blokuje útoky na webové aplikace. Na rozdíl od komerční verze, která je založena na strojovém učení, bezplatná verze analyzuje požadavky pouze pomocí podpisové metody.
Vlastnosti vydání Nemesida WAF 4.0.129
Před aktuální verzí dynamický modul Nemesida WAF podporoval pouze Nginx Stable 1.12, 1.14 a 1.16. Nová verze přidává podporu pro Nginx Mainline od 1.17 a Nginx Plus od 1.15.10 (R18).
Proč dělat další WAF?
NAXSI a mod_security jsou pravděpodobně nejoblíbenějšími bezplatnými moduly WAF a mod_security aktivně propaguje Nginx, ačkoli zpočátku byl používán pouze v Apache2. Obě řešení jsou zdarma, open source a mají mnoho uživatelů po celém světě. Pro mod_security jsou k dispozici bezplatné a komerční sady podpisů za 500 $ ročně, pro NAXSI je k dispozici bezplatná sada podpisů ihned po vybalení a můžete také najít další sady pravidel, jako je doxsi.
Letos jsme testovali provoz NAXSI a Nemesida WAF Free. Krátce o výsledcích:
- NAXSI neprovádí dvojité dekódování URL v cookies
- NAXSI se konfiguruje velmi dlouho - ve výchozím nastavení pravidlo zablokuje většinu požadavků při práci s webovou aplikací (autorizace, úprava profilu nebo materiálu, účast v průzkumech atd.) a je nutné generovat seznamy výjimek , což má špatný vliv na bezpečnost. Nemesida WAF Free s výchozím nastavením neprovedl ani jeden falešně pozitivní výsledek při práci se stránkou.
- počet zmeškaných útoků pro NAXSI je mnohonásobně vyšší atd.
Přes nedostatky mají NAXSI a mod_security minimálně dvě výhody – open source a velké množství uživatelů. Podporujeme myšlenku zveřejnění zdrojového kódu, ale zatím to nemůžeme udělat kvůli možným problémům s „pirátstvím“ komerční verze, ale pro kompenzaci tohoto nedostatku plně zveřejňujeme obsah sady podpisů. Ceníme si soukromí a doporučujeme, abyste si to sami ověřili pomocí proxy serveru.
Vlastnosti Nemesida WAF Free:
- vysoce kvalitní databáze podpisů s minimálním počtem falešně pozitivních a falešně negativních.
- instalace a aktualizace z úložiště (je to rychlé a pohodlné);
- jednoduché a srozumitelné události o incidentech, nikoli „nepořádek“ jako NAXSI;
- zcela zdarma, nemá žádná omezení na objem provozu, virtuální hostitele atd.
Na závěr uvedu několik dotazů na hodnocení výkonu WAF (doporučuje se používat v každé ze zón: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Pokud nejsou požadavky zablokovány, pak s největší pravděpodobností WAF zmešká skutečný útok. Před použitím příkladů se ujistěte, že WAF neblokuje legitimní požadavky.
Zdroj: www.habr.com