Viime vuonna julkaisimme Nemesida WAF Freen, dynaamisen moduulin NGINX:lle, joka estää hyökkäykset verkkosovelluksia vastaan. Toisin kuin kaupallinen versio, joka perustuu koneoppimiseen, ilmainen versio analysoi pyynnöt vain allekirjoitusmenetelmällä.
Nemesida WAF 4.0.129:n julkaisun ominaisuudet
Ennen nykyistä julkaisua Nemesida WAF dynaaminen moduuli tuki vain Nginx Stable 1.12, 1.14 ja 1.16. Uusi julkaisu lisää tuen Nginx Mainlinelle 1.17 alkaen ja Nginx Plus:lle 1.15.10:stä (R18).
Miksi tehdä toinen WAF?
NAXSI ja mod_security ovat luultavasti suosituimpia ilmaisia WAF-moduuleja, ja Nginx edistää aktiivisesti mod_securityä, vaikka sitä käytettiin alun perin vain Apache2:ssa. Molemmat ratkaisut ovat ilmaisia, avoimen lähdekoodin ja niillä on paljon käyttäjiä ympäri maailmaa. Mod_securitylle ilmaisia ja kaupallisia allekirjoitusjoukkoja on saatavana hintaan 500 dollaria vuodessa, NAXSI:lle on saatavilla ilmainen allekirjoituspaketti, ja voit myös löytää muita sääntöjoukkoja, kuten doxsi.
Tänä vuonna testasimme NAXSI:n ja Nemesida WAF Freen toimintaa. Lyhyesti tuloksista:
- NAXSI ei pura kaksois-URL-osoitetta evästeissä
- NAXSI:n määrittäminen vie hyvin kauan - oletusarvoiset sääntöasetukset estävät useimmat pyynnöt verkkosovelluksen kanssa työskennellessä (valtuutus, profiilin tai materiaalin muokkaaminen, kyselyihin osallistuminen jne.) ja poikkeusluetteloiden luominen on välttämätöntä. , jolla on huono vaikutus turvallisuuteen. Nemesida WAF Free oletusasetuksilla ei antanut yhtäkään väärää positiivista työskennellessään sivuston kanssa.
- NAXSI:n ohitettujen hyökkäysten määrä on monta kertaa suurempi jne.
Puutteista huolimatta NAXSI:lla ja mod_securityllä on ainakin kaksi etua - avoin lähdekoodi ja suuri määrä käyttäjiä. Tuemme ajatusta lähdekoodin paljastamisesta, mutta emme voi tehdä sitä vielä kaupallisen version "piratismin" mahdollisten ongelmien vuoksi, mutta tämän puutteen kompensoimiseksi paljastamme allekirjoitusjoukon sisällön täysin. Arvostamme yksityisyyttä ja suosittelemme, että vahvistat tämän itse välityspalvelimen avulla.
Nemesida WAF Freen ominaisuudet:
- korkealaatuinen allekirjoitustietokanta, jossa on vähimmäismäärä vääriä positiivisia ja vääriä negatiivisia.
- asennus ja päivitys arkistosta (se on nopeaa ja kätevää);
- yksinkertaisia ja ymmärrettäviä tapahtumia tapahtumista, ei "sotkua" kuten NAXSI;
- täysin ilmainen, ei rajoita liikenteen määrää, virtuaalisia isäntiä jne.
Lopuksi annan useita kyselyitä arvioidaksesi WAF:n suorituskykyä (on suositeltavaa käyttää sitä jokaisella vyöhykkeellä: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Jos pyyntöjä ei estetä, WAF todennäköisesti missaa todellisen hyökkäyksen. Ennen kuin käytät esimerkkejä, varmista, että WAF ei estä laillisia pyyntöjä.
Lähde: will.com