Sidste år udgav vi Nemesida WAF Free, et dynamisk modul til NGINX, der blokerer angreb på webapplikationer. I modsætning til den kommercielle version, som er baseret på maskinlæring, analyserer den gratis version kun anmodninger ved hjælp af signaturmetoden.
Funktioner ved udgivelsen af Nemesida WAF 4.0.129
Før den nuværende udgivelse understøttede Nemesida WAF dynamiske modul kun Nginx Stable 1.12, 1.14 og 1.16. Den nye udgivelse tilføjer understøttelse af Nginx Mainline, startende fra 1.17, og Nginx Plus, startende fra 1.15.10 (R18).
Hvorfor lave endnu en WAF?
NAXSI og mod_security er nok de mest populære gratis WAF-moduler, og mod_security fremmes aktivt af Nginx, selvom det oprindeligt kun blev brugt i Apache2. Begge løsninger er gratis, open source og har mange brugere rundt om i verden. For mod_security er gratis og kommercielle signatursæt tilgængelige for $500 om året, for NAXSI er der et gratis sæt signaturer ud af kassen, og du kan også finde yderligere sæt regler, såsom doxsi.
I år testede vi driften af NAXSI og Nemesida WAF Free. Kort om resultaterne:
- NAXSI foretager ikke dobbelt URL-afkodning i cookies
- NAXSI tager meget lang tid at konfigurere - som standard vil standardregelindstillingerne blokere de fleste anmodninger, når du arbejder med en webapplikation (autorisation, redigering af en profil eller materiale, deltagelse i undersøgelser osv.), og det er nødvendigt at generere undtagelseslister , hvilket har en dårlig effekt på sikkerheden. Nemesida WAF Free med standardindstillinger udførte ikke en eneste falsk positiv under arbejdet med webstedet.
- antallet af mistede angreb for NAXSI er mange gange højere osv.
På trods af manglerne har NAXSI og mod_security mindst to fordele - open source og et stort antal brugere. Vi støtter ideen om at afsløre kildekoden, men vi kan ikke gøre dette endnu på grund af mulige problemer med "piratkopiering" af den kommercielle version, men for at kompensere for denne mangel afslører vi fuldt ud indholdet af signatursættet. Vi værdsætter privatlivets fred og foreslår, at du selv verificerer dette ved hjælp af en proxyserver.
Funktioner af Nemesida WAF Free:
- signaturdatabase af høj kvalitet med et minimum antal falske positive og falske negative.
- installation og opdatering fra depotet (det er hurtigt og bekvemt);
- enkle og forståelige hændelser om hændelser, og ikke et "rod" som NAXSI;
- helt gratis, har ingen begrænsninger på mængden af trafik, virtuelle værter osv.
Afslutningsvis vil jeg give flere forespørgsler for at evaluere ydeevnen af WAF (det anbefales at bruge det i hver af zonerne: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Hvis anmodningerne ikke blokeres, vil WAF højst sandsynligt gå glip af det rigtige angreb. Før du bruger eksemplerne, skal du sikre dig, at WAF ikke blokerer legitime anmodninger.
Kilde: www.habr.com