Pasintjare ni publikigis Nemesida WAF Free, dinamikan modulon por NGINX, kiu blokas atakojn al TTT-aplikoj. Male al la komerca versio, kiu baziĝas sur maŝina lernado, la senpaga versio analizas petojn nur uzante la subskriban metodon.
Trajtoj de la liberigo de Nemesida WAF 4.0.129
Antaŭ la nuna eldono, la dinamika modulo Nemesida WAF subtenis nur Nginx Stable 1.12, 1.14 kaj 1.16. La nova eldono aldonas subtenon por Nginx Mainline, ekde 1.17, kaj Nginx Plus, ekde 1.15.10 (R18).
Kial fari alian WAF?
NAXSI kaj mod_security estas verŝajne la plej popularaj senpagaj WAF-moduloj, kaj mod_security estas aktive antaŭenigita de Nginx, kvankam komence ĝi estis uzata nur en Apache2. Ambaŭ solvoj estas senpagaj, malfermfonte kaj havas multajn uzantojn tra la mondo. Por mod_security, senpagaj kaj komercaj subskriboj estas disponeblaj por $500 jare, por NAXSI ekzistas senpaga aro de subskriboj el la skatolo, kaj vi ankaŭ povas trovi pliajn regulojn, kiel doxsi.
Ĉi-jare ni provis la funkciadon de NAXSI kaj Nemesida WAF Senpaga. Mallonge pri la rezultoj:
- NAXSI ne faras duoblan URL-malkodigon en kuketoj
- NAXSI bezonas tre longan tempon por agordi - defaŭlte, la defaŭltaj regulaj agordoj blokos la plej multajn petojn kiam oni laboras kun TTT-apliko (rajtigo, redaktado de profilo aŭ materialo, partoprenado en enketoj, ktp.) kaj necesas generi esceptlistojn. , kiu havas malbonan efikon al sekureco. Nemesida WAF Free kun defaŭltaj agordoj ne faris eĉ unu falsan pozitivon dum laborado kun la retejo.
- la nombro da maltrafitaj atakoj por NAXSI estas multoble pli alta, ktp.
Malgraŭ la mankoj, NAXSI kaj mod_security havas almenaŭ du avantaĝojn - malferma fonto kaj granda nombro da uzantoj. Ni subtenas la ideon malkaŝi la fontkodon, sed ni ankoraŭ ne povas fari tion pro eblaj problemoj kun "piratado" de la komerca versio, sed por kompensi ĉi tiun mankon, ni plene malkaŝas la enhavon de la subskribaro. Ni taksas privatecon kaj sugestas, ke vi mem kontrolu tion per prokura servilo.
Karakterizaĵoj de Nemesida WAF Free:
- altkvalita subskriba datumbazo kun minimuma nombro de Falsaj Pozitivoj kaj Falsaj Negativoj.
- instalado kaj ĝisdatigo de la deponejo (ĝi estas rapida kaj oportuna);
- simplaj kaj kompreneblaj eventoj pri eventoj, kaj ne "ĉaro" kiel NAXSI;
- tute senpaga, ne havas limigojn pri la kvanto de trafiko, virtualaj gastigantoj, ktp.
Konklude, mi donos plurajn demandojn por taksi la agadon de WAF (oni rekomendas uzi ĝin en ĉiu el la zonoj: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Se la petoj ne estas blokitaj, tiam plej verŝajne la WAF maltrafos la realan atakon. Antaŭ ol uzi la ekzemplojn, certigu, ke la WAF ne blokas legitimajn petojn.
fonto: www.habr.com