L'année dernière, nous avons publié Nemesida WAF Free, un module dynamique pour NGINX qui bloque les attaques contre les applications Web. Contrairement à la version commerciale, qui repose sur le machine learning, la version gratuite analyse les requêtes uniquement en utilisant la méthode de signature.
Caractéristiques de la version Nemesida WAF 4.0.129
Avant la version actuelle, le module dynamique Nemesida WAF prenait en charge uniquement Nginx Stable 1.12, 1.14 et 1.16. La nouvelle version ajoute la prise en charge de Nginx Mainline, à partir de la 1.17, et de Nginx Plus, à partir de la 1.15.10 (R18).
Pourquoi faire un autre WAF ?
NAXSI et mod_security sont probablement les modules WAF gratuits les plus populaires, et mod_security est activement promu par Nginx, même s'il n'était initialement utilisé que dans Apache2. Les deux solutions sont gratuites, open source et comptent de nombreux utilisateurs dans le monde entier. Pour mod_security, des ensembles de signatures gratuits et commerciaux sont disponibles pour 500 $ par an, pour NAXSI, il existe un ensemble gratuit de signatures prêtes à l'emploi, et vous pouvez également trouver des ensembles de règles supplémentaires, tels que doxsi.
Cette année, nous avons testé le fonctionnement de NAXSI et Nemesida WAF Free. En bref sur les résultats :
- NAXSI ne fait pas de double décodage d'URL dans les cookies
- NAXSI est très long à configurer - par défaut, les paramètres de règles par défaut bloqueront la plupart des demandes lorsque vous travaillez avec une application Web (autorisation, modification d'un profil ou d'un matériel, participation à des enquêtes, etc.) et il est nécessaire de générer des listes d'exceptions , ce qui a un effet néfaste sur la sécurité. Nemesida WAF Free avec les paramètres par défaut n'a effectué aucun faux positif lors de l'utilisation du site.
- le nombre d'attaques manquées pour NAXSI est plusieurs fois plus élevé, etc.
Malgré leurs défauts, NAXSI et mod_security présentent au moins deux avantages : l'open source et un grand nombre d'utilisateurs. Nous soutenons l'idée de divulguer le code source, mais nous ne pouvons pas encore le faire en raison d'éventuels problèmes de « piratage » de la version commerciale, mais pour compenser cette lacune, nous divulguons entièrement le contenu de l'ensemble de signatures. Nous accordons une grande importance à la confidentialité et vous suggérons de le vérifier vous-même à l'aide d'un serveur proxy.
Caractéristiques de Nemesida WAF gratuit :
- base de données de signatures de haute qualité avec un nombre minimum de faux positifs et de faux négatifs.
- installation et mise à jour depuis le référentiel (c'est rapide et pratique) ;
- des événements simples et compréhensibles sur les incidents, et non un « gâchis » comme NAXSI ;
- entièrement gratuit, n'a aucune restriction sur la quantité de trafic, les hôtes virtuels, etc.
En conclusion, je donnerai plusieurs requêtes pour évaluer les performances du WAF (il est recommandé de l'utiliser dans chacune des zones : URL, ARGS, Headers & Body) :
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Si les requêtes ne sont pas bloquées, il est fort probable que le WAF ratera la véritable attaque. Avant d'utiliser les exemples, assurez-vous que le WAF ne bloque pas les requêtes légitimes.
Source: habr.com