Iaz Nemesida WAF Free kaleratu genuen, web aplikazioen erasoak blokeatzen dituen NGINX-erako modulu dinamikoa. Bertsio komertziala ez bezala, ikaskuntza automatikoan oinarritzen dena, doako bertsioak sinadura metodoa erabiliz soilik aztertzen ditu eskaerak.
Nemesida WAF 4.0.129 bertsioaren ezaugarriak
Oraingo bertsioaren aurretik, Nemesida WAF modulu dinamikoak Nginx Stable 1.12, 1.14 eta 1.16 bakarrik onartzen zituen. Bertsio berriak Nginx Mainlinerako laguntza gehitzen du, 1.17tik aurrera, eta Nginx Plus, 1.15.10etik (R18).
Zergatik egin beste WAF bat?
NAXSI eta mod_security dira ziurrenik WAF modulu doako ezagunenak, eta mod_security Nginx-ek aktiboki sustatzen du, nahiz eta hasieran Apache2-n bakarrik erabiltzen zen. Bi irtenbideak doakoak dira, kode irekikoak eta mundu osoko erabiltzaile asko dituzte. Mod_security-rako, doako eta merkataritzako sinadura multzoak eskuragarri daude urtean 500 $-ren truke, NAXSIrako doako sinadura multzo bat dago kutxatik kanpo, eta arau multzo osagarriak ere aurki ditzakezu, hala nola doxsi.
Aurten NAXSI eta Nemesida WAF Free-ren funtzionamendua probatu dugu. Emaitzei buruz laburki:
- NAXSIk ez du URL bikoitza deskodetzen cookieetan
- NAXSIk oso denbora luzea behar du konfiguratzeko - lehenespenez, arau-ezarpen lehenetsiek eskaera gehienak blokeatuko dituzte web-aplikazio batekin lan egiten dutenean (baimena, profila edo materiala editatzea, inkestetan parte hartzea, etab.) eta salbuespen zerrendak sortzea beharrezkoa da. , segurtasunean eragin txarra duena. Nemesida WAF Free ezarpen lehenetsiekin ez zuen positibo faltsu bakar bat ere egin gunearekin lanean ari zen bitartean.
- NAXSIrako galdutako erasoen kopurua askotan handiagoa da, etab.
Gabeziak izan arren, NAXSI eta mod_security-k gutxienez bi abantaila dituzte: kode irekia eta erabiltzaile kopuru handia. Iturburu-kodea ezagutarazteko ideia onartzen dugu, baina oraindik ezin dugu hori egin bertsio komertzialaren "pirateriaren" arazo posibleengatik, baina gabezia hori konpentsatzeko, sinadura multzoaren edukia guztiz zabaltzen ari gara. Pribatutasuna baloratzen dugu eta hori zuk zeuk egiaztatzea gomendatzen dugu proxy zerbitzari bat erabiliz.
Nemesida WAF Free-ren ezaugarriak:
- kalitate handiko sinadura datu-basea positibo faltsu eta negatibo faltsu kopuru minimo batekin.
- instalazioa eta eguneratzea biltegitik (azkar eta erosoa da);
- istiluei buruzko gertaera erraz eta ulergarriak, eta ez NAXSI bezalako "nahaspila" bat;
- guztiz doakoa, ez du mugarik trafiko-kopuruan, ostalari birtualean, etab.
Amaitzeko, WAF-en errendimendua ebaluatzeko hainbat kontsulta emango ditut (eremu bakoitzean erabiltzea gomendatzen da: URL, ARGS, Goiburuak eta Gorputza):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Eskaerak blokeatzen ez badira, ziurrenik WAFek benetako erasoa galduko du. Adibideak erabili aurretik, ziurtatu WAFak ez dituela legezko eskaerak blokeatzen.
Iturria: www.habr.com