Eelmisel aastal andsime välja Nemesida WAF Free, dünaamilise mooduli NGINX jaoks, mis blokeerib veebirakenduste vastu suunatud rünnakud. Erinevalt kommertsversioonist, mis põhineb masinõppel, analüüsib tasuta versioon päringuid ainult allkirjameetodil.
Nemesida WAF 4.0.129 väljalaske omadused
Enne praegust väljalaset toetas Nemesida WAF-i dünaamiline moodul ainult Nginx Stable 1.12, 1.14 ja 1.16. Uus väljalase lisab toe Nginx Mainline'i versioonile 1.17 ja Nginx Plusile alates 1.15.10 (R18).
Miks teha veel üks WAF?
NAXSI ja mod_security on ilmselt kõige populaarsemad tasuta WAF-moodulid ning mod_security't propageerib aktiivselt Nginx, kuigi algselt kasutati seda ainult Apache2-s. Mõlemad lahendused on tasuta, avatud lähtekoodiga ja neil on palju kasutajaid üle maailma. Mod_security jaoks on saadaval tasuta ja kommertsallkirjade komplektid 500 dollari eest aastas, NAXSI jaoks on karbist väljas tasuta allkirjade komplekt, samuti võite leida täiendavaid reeglite komplekte, näiteks doxsi.
Sel aastal testisime NAXSI ja Nemesida WAF Free tööd. Lühidalt tulemustest:
- NAXSI ei dekodeeri küpsistes topelt-URL-i
- NAXSI seadistamine võtab väga kaua aega – vaikimisi reegli seadistused blokeerivad veebirakendusega töötamisel enamuse päringuid (volitamine, profiili või materjali redigeerimine, küsitlustes osalemine jne) ning vaja on genereerida erandite loendeid. , mis mõjub turvalisusele halvasti. Vaikeseadetega Nemesida WAF Free ei andnud saidiga töötamise ajal ühtegi valepositiivset tulemust.
- vahelejäänud rünnakute arv on NAXSI jaoks kordades suurem jne.
Vaatamata puudustele on NAXSI-l ja mod_securityl vähemalt kaks eelist – avatud lähtekoodiga ja suur kasutajate arv. Toetame lähtekoodi avalikustamise ideed, kuid me ei saa seda veel teha võimalike kommertsversiooni piraatlusega seotud probleemide tõttu, kuid selle puuduse kompenseerimiseks avalikustame täielikult allkirjakomplekti sisu. Hindame privaatsust ja soovitame teil seda ise puhverserveri abil kontrollida.
Nemesida WAF Free funktsioonid:
- kvaliteetne allkirjade andmebaas minimaalse valepositiivsete ja valenegatiivsete arvuga.
- installimine ja värskendamine hoidlast (see on kiire ja mugav);
- lihtsad ja arusaadavad sündmused vahejuhtumite kohta, mitte aga NAXSI taoline "segadus";
- täiesti tasuta, ei oma piiranguid liikluse hulgale, virtuaalsetele hostidele jne.
Kokkuvõtteks annan WAF-i toimivuse hindamiseks mitu päringut (soovitatav on seda kasutada igas tsoonis: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Kui päringuid ei blokeerita, siis tõenäoliselt jätab WAF tõelise rünnaku vahele. Enne näidete kasutamist veenduge, et WAF ei blokeeri õigustatud päringuid.
Allikas: www.habr.com