Πέρυσι κυκλοφορήσαμε το Nemesida WAF Free, μια δυναμική ενότητα για το NGINX που αποκλείει επιθέσεις σε εφαρμογές Ιστού. Σε αντίθεση με την εμπορική έκδοση, η οποία βασίζεται στη μηχανική εκμάθηση, η δωρεάν έκδοση αναλύει αιτήματα μόνο χρησιμοποιώντας τη μέθοδο της υπογραφής.
Χαρακτηριστικά της κυκλοφορίας του Nemesida WAF 4.0.129
Πριν από την τρέχουσα έκδοση, η δυναμική μονάδα Nemesida WAF υποστήριζε μόνο Nginx Stable 1.12, 1.14 και 1.16. Η νέα έκδοση προσθέτει υποστήριξη για το Nginx Mainline, ξεκινώντας από την 1.17 και το Nginx Plus, ξεκινώντας από το 1.15.10 (R18).
Γιατί να φτιάξεις άλλο WAF;
Το NAXSI και το mod_security είναι ίσως οι πιο δημοφιλείς δωρεάν μονάδες WAF και το mod_security προωθείται ενεργά από το Nginx, αν και αρχικά χρησιμοποιήθηκε μόνο στο Apache2. Και οι δύο λύσεις είναι δωρεάν, ανοιχτού κώδικα και έχουν πολλούς χρήστες σε όλο τον κόσμο. Για το mod_security, τα δωρεάν και εμπορικά σύνολα υπογραφών είναι διαθέσιμα για 500 $ ετησίως, για το NAXSI υπάρχει ένα δωρεάν σύνολο υπογραφών εκτός συσκευασίας και μπορείτε επίσης να βρείτε επιπλέον σετ κανόνων, όπως το doxsi.
Φέτος δοκιμάσαμε τη λειτουργία του NAXSI και του Nemesida WAF Free. Συνοπτικά για τα αποτελέσματα:
- Το NAXSI δεν κάνει διπλή αποκωδικοποίηση URL στα cookies
- Το NAXSI χρειάζεται πολύ χρόνο για να διαμορφωθεί - από προεπιλογή, οι προεπιλεγμένες ρυθμίσεις κανόνων θα μπλοκάρουν τα περισσότερα αιτήματα κατά την εργασία με μια διαδικτυακή εφαρμογή (εξουσιοδότηση, επεξεργασία προφίλ ή υλικού, συμμετοχή σε έρευνες κ.λπ.) και είναι απαραίτητο να δημιουργηθούν λίστες εξαιρέσεων , το οποίο έχει άσχημη επίδραση στην ασφάλεια. Το Nemesida WAF Free με προεπιλεγμένες ρυθμίσεις δεν πραγματοποίησε ούτε ένα ψευδές θετικό κατά την εργασία με τον ιστότοπο.
- ο αριθμός των χαμένων επιθέσεων για το NAXSI είναι πολλαπλάσιος κ.λπ.
Παρά τις ελλείψεις, το NAXSI και το mod_security έχουν τουλάχιστον δύο πλεονεκτήματα - ανοιχτού κώδικα και μεγάλο αριθμό χρηστών. Υποστηρίζουμε την ιδέα της αποκάλυψης του πηγαίου κώδικα, αλλά δεν μπορούμε να το κάνουμε ακόμη λόγω πιθανών προβλημάτων με την «πειρατεία» της εμπορικής έκδοσης, αλλά για να αντισταθμίσουμε αυτήν την έλλειψη, αποκαλύπτουμε πλήρως τα περιεχόμενα του συνόλου υπογραφών. Εκτιμούμε το απόρρητο και σας προτείνουμε να το επαληθεύσετε μόνοι σας χρησιμοποιώντας έναν διακομιστή μεσολάβησης.
Χαρακτηριστικά του Nemesida WAF Free:
- βάση δεδομένων υπογραφών υψηλής ποιότητας με ελάχιστο αριθμό ψευδώς θετικών και ψευδώς αρνητικών.
- εγκατάσταση και ενημέρωση από το αποθετήριο (είναι γρήγορο και βολικό).
- Απλά και κατανοητά γεγονότα για περιστατικά και όχι ένα «μπέρδεμα» όπως το NAXSI.
- εντελώς δωρεάν, δεν έχει περιορισμούς στο μέγεθος της επισκεψιμότητας, εικονικούς κεντρικούς υπολογιστές κ.λπ.
Εν κατακλείδι, θα δώσω πολλά ερωτήματα για την αξιολόγηση της απόδοσης του WAF (συνιστάται η χρήση του σε κάθε μία από τις ζώνες: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Εάν τα αιτήματα δεν μπλοκαριστούν, τότε πιθανότατα το WAF θα χάσει την πραγματική επίθεση. Πριν χρησιμοποιήσετε τα παραδείγματα, βεβαιωθείτε ότι το WAF δεν αποκλείει τα νόμιμα αιτήματα.
Πηγή: www.habr.com