Letztes Jahr haben wir Nemesida WAF Free veröffentlicht, ein dynamisches Modul für NGINX, das Angriffe auf Webanwendungen blockiert. Im Gegensatz zur kommerziellen Version, die auf maschinellem Lernen basiert, analysiert die kostenlose Version Anfragen ausschließlich mithilfe der Signaturmethode.
Merkmale der Veröffentlichung von Nemesida WAF 4.0.129
Vor der aktuellen Version unterstützte das dynamische WAF-Modul von Nemesida nur Nginx Stable 1.12, 1.14 und 1.16. Die neue Version bietet Unterstützung für Nginx Mainline ab 1.17 und Nginx Plus ab 1.15.10 (R18).
Warum eine weitere WAF erstellen?
NAXSI und mod_security sind wahrscheinlich die beliebtesten kostenlosen WAF-Module, und mod_security wird von Nginx aktiv gefördert, obwohl es ursprünglich nur in Apache2 verwendet wurde. Beide Lösungen sind kostenlos, Open Source und haben viele Benutzer auf der ganzen Welt. Für mod_security sind kostenlose und kommerzielle Signatursätze für 500 US-Dollar pro Jahr erhältlich, für NAXSI gibt es einen kostenlosen Satz an Signaturen „out of the box“ und Sie können auch zusätzliche Regelsätze wie doxsi finden.
Dieses Jahr haben wir die Funktionsweise von NAXSI und Nemesida WAF Free getestet. Kurz zu den Ergebnissen:
- NAXSI führt in Cookies keine doppelte URL-Dekodierung durch
- Die Konfiguration von NAXSI dauert sehr lange – standardmäßig blockieren die Standardregeleinstellungen die meisten Anfragen beim Arbeiten mit einer Webanwendung (Autorisierung, Bearbeiten eines Profils oder Materials, Teilnahme an Umfragen usw.) und es ist notwendig, Ausnahmelisten zu erstellen , was sich negativ auf die Sicherheit auswirkt. Nemesida WAF Free mit Standardeinstellungen führte bei der Arbeit mit der Site zu keinem einzigen Fehlalarm.
- die Anzahl verpasster Angriffe ist bei NAXSI um ein Vielfaches höher usw.
Trotz der Mängel haben NAXSI und mod_security mindestens zwei Vorteile: Open Source und eine große Anzahl von Benutzern. Wir unterstützen die Idee, den Quellcode offenzulegen, können dies jedoch aufgrund möglicher Probleme mit „Piraterie“ der kommerziellen Version noch nicht tun. Um diesen Mangel auszugleichen, legen wir jedoch den Inhalt des Signatursatzes vollständig offen. Wir legen Wert auf den Datenschutz und empfehlen Ihnen, dies mithilfe eines Proxyservers selbst zu überprüfen.
Merkmale von Nemesida WAF Free:
- Hochwertige Signaturdatenbank mit einer minimalen Anzahl falsch positiver und falsch negativer Ergebnisse.
- Installation und Update aus dem Repository (schnell und bequem);
- einfache und verständliche Ereignisse über Vorfälle und kein „Durcheinander“ wie NAXSI;
- völlig kostenlos, ohne Einschränkungen hinsichtlich der Menge an Datenverkehr, virtuellen Hosts usw.
Abschließend werde ich mehrere Abfragen stellen, um die Leistung von WAF zu bewerten (es wird empfohlen, es in jeder der Zonen zu verwenden: URL, ARGS, Header und Text):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Wenn die Anfragen nicht blockiert werden, wird die WAF höchstwahrscheinlich den eigentlichen Angriff verpassen. Stellen Sie vor der Verwendung der Beispiele sicher, dass die WAF keine legitimen Anfragen blockiert.
Source: habr.com