El año pasado lanzamos Nemesida WAF Free, un módulo dinámico para NGINX que bloquea ataques a aplicaciones web. A diferencia de la versión comercial, que se basa en el aprendizaje automático, la versión gratuita analiza las solicitudes únicamente mediante el método de firma.
Características del lanzamiento de Nemesida WAF 4.0.129
Antes de la versión actual, el módulo dinámico Nemesida WAF solo admitía Nginx Stable 1.12, 1.14 y 1.16. La nueva versión agrega soporte para Nginx Mainline, a partir de 1.17, y Nginx Plus, a partir de 1.15.10 (R18).
¿Por qué hacer otro WAF?
NAXSI y mod_security son probablemente los módulos WAF gratuitos más populares, y Nginx promueve activamente mod_security, aunque inicialmente solo se usó en Apache2. Ambas soluciones son gratuitas, de código abierto y tienen muchos usuarios en todo el mundo. Para mod_security, hay conjuntos de firmas comerciales y gratuitos disponibles por $500 por año, para NAXSI hay un conjunto gratuito de firmas listas para usar y también puede encontrar conjuntos de reglas adicionales, como doxsi.
Este año probamos el funcionamiento de NAXSI y Nemesida WAF Free. Brevemente sobre los resultados:
- NAXSI no realiza doble decodificación de URL en las cookies
- La configuración de NAXSI lleva mucho tiempo: de forma predeterminada, la configuración de reglas predeterminada bloqueará la mayoría de las solicitudes cuando se trabaja con una aplicación web (autorización, edición de un perfil o material, participación en encuestas, etc.) y es necesario generar listas de excepciones. , lo que tiene un efecto negativo en la seguridad. Nemesida WAF Free con la configuración predeterminada no realizó ni un solo falso positivo mientras trabajaba con el sitio.
- el número de ataques fallidos para NAXSI es muchas veces mayor, etc.
A pesar de las deficiencias, NAXSI y mod_security tienen al menos dos ventajas: código abierto y una gran cantidad de usuarios. Apoyamos la idea de divulgar el código fuente, pero todavía no podemos hacerlo debido a posibles problemas con la "piratería" de la versión comercial, pero para compensar esta deficiencia, divulgamos completamente el contenido del conjunto de firmas. Valoramos la privacidad y le sugerimos que la verifique usted mismo utilizando un servidor proxy.
Características de Nemesida WAF Gratis:
- Base de datos de firmas de alta calidad con un número mínimo de falsos positivos y falsos negativos.
- instalación y actualización desde el repositorio (es rápido y conveniente);
- eventos simples y comprensibles sobre incidentes, y no un "desastre" como NAXSI;
- completamente gratis, no tiene restricciones en cuanto a cantidad de tráfico, hosts virtuales, etc.
En conclusión, daré varias consultas para evaluar el rendimiento de WAF (se recomienda utilizarlo en cada una de las zonas: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Si las solicitudes no se bloquean, lo más probable es que el WAF no detecte el ataque real. Antes de utilizar los ejemplos, asegúrese de que el WAF no esté bloqueando solicitudes legítimas.
Fuente: habr.com