Y llynedd fe wnaethom ryddhau Nemesida WAF Free, modiwl deinamig ar gyfer NGINX sy'n blocio ymosodiadau ar gymwysiadau gwe. Yn wahanol i'r fersiwn fasnachol, sy'n seiliedig ar ddysgu peirianyddol, mae'r fersiwn am ddim yn dadansoddi ceisiadau gan ddefnyddio'r dull llofnod yn unig.
Nodweddion rhyddhau Nemesida WAF 4.0.129
Cyn y datganiad presennol, roedd modiwl deinamig Nemesida WAF yn cefnogi Nginx Stable 1.12, 1.14 a 1.16 yn unig. Mae'r datganiad newydd yn ychwanegu cefnogaeth i Nginx Mainline, gan ddechrau o 1.17, a Nginx Plus, gan ddechrau o 1.15.10 (R18).
Pam gwneud WAF arall?
Mae'n debyg mai NAXSI a mod_security yw'r modiwlau WAF rhad ac am ddim mwyaf poblogaidd, ac mae mod_security yn cael ei hyrwyddo'n weithredol gan Nginx, er mai dim ond yn Apache2 y'i defnyddiwyd i ddechrau. Mae'r ddau ddatrysiad yn rhad ac am ddim, ffynhonnell agored ac mae ganddynt lawer o ddefnyddwyr ledled y byd. Ar gyfer mod_security, mae setiau llofnod masnachol am ddim ar gael am $500 y flwyddyn, ar gyfer NAXSI mae set am ddim o lofnodion allan o'r blwch, a gallwch hefyd ddod o hyd i setiau ychwanegol o reolau, fel doxsi.
Eleni fe wnaethom brofi gweithrediad NAXSI a Nemesida WAF Free. Yn gryno am y canlyniadau:
- Nid yw NAXSI yn dadgodio URL dwbl mewn cwcis
- Mae NAXSI yn cymryd amser hir iawn i'w ffurfweddu - yn ddiofyn, bydd gosodiadau'r rheol ddiofyn yn rhwystro'r mwyafrif o geisiadau wrth weithio gyda chymhwysiad gwe (awdurdodi, golygu proffil neu ddeunydd, cymryd rhan mewn arolygon, ac ati) ac mae angen cynhyrchu rhestrau eithriadau , sy'n cael effaith wael ar ddiogelwch. Ni pherfformiodd Nemesida WAF Free gyda gosodiadau diofyn un positif ffug wrth weithio gyda'r wefan.
- mae nifer yr ymosodiadau a gollwyd ar gyfer NAXSI lawer gwaith yn uwch, ac ati.
Er gwaethaf y diffygion, mae gan NAXSI a mod_security o leiaf ddau fantais - ffynhonnell agored a nifer fawr o ddefnyddwyr. Rydym yn cefnogi’r syniad o ddatgelu’r cod ffynhonnell, ond ni allwn wneud hyn eto oherwydd problemau posibl gyda “môr-ladrad” y fersiwn fasnachol, ond i wneud iawn am y diffyg hwn, rydym yn datgelu cynnwys y set llofnod yn llawn. Rydym yn gwerthfawrogi preifatrwydd ac yn awgrymu eich bod yn gwirio hyn eich hun gan ddefnyddio gweinydd dirprwyol.
Nodweddion Nemesida WAF Am Ddim:
- cronfa ddata llofnod o ansawdd uchel gydag isafswm o Anwir Bositif a Ffug Negyddol.
- gosod a diweddaru o'r ystorfa (mae'n gyflym ac yn gyfleus);
- digwyddiadau syml a dealladwy am ddigwyddiadau, ac nid “llanast” fel NAXSI;
- yn hollol rhad ac am ddim, nid oes ganddo unrhyw gyfyngiadau ar faint o draffig, gwesteiwyr rhithwir, ac ati.
I gloi, byddaf yn rhoi sawl ymholiad i werthuso perfformiad WAF (argymhellir ei ddefnyddio ym mhob un o'r parthau: URL, ARGS, Penawdau a Chorff):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Os na chaiff y ceisiadau eu rhwystro, yna mae'n fwyaf tebygol y bydd y WAF yn colli'r ymosodiad go iawn. Cyn defnyddio'r enghreifftiau, gwnewch yn siŵr nad yw'r WAF yn rhwystro ceisiadau cyfreithlon.
Ffynhonnell: hab.com