An bhliain seo caite scaoileamar Nemesida WAF Free, modúl dinimiciúil do NGINX a chuireann bac ar ionsaithe ar fheidhmchláir ghréasáin. Murab ionann agus an leagan tráchtála, atá bunaithe ar mheaisínfhoghlaim, ní dhéanann an leagan saor in aisce anailís ar iarratais ach ag baint úsáide as an modh sínithe.
Gnéithe de scaoileadh Nemesida WAF 4.0.129
Roimh an scaoileadh reatha, níor thacaigh modúl dinimiciúil Nemesida WAF ach Nginx Stable 1.12, 1.14 agus 1.16. Cuireann an scaoileadh nua tacaíocht do Nginx Mainline, ag tosú ó 1.17, agus Nginx Plus, ag tosú ó 1.15.10 (R18).
Cén fáth WAF eile a dhéanamh?
Is dócha gurb iad NAXSI agus mod_security na modúil WAF saor in aisce is mó tóir, agus tá mod_security á gcur chun cinn go gníomhach ag Nginx, cé gur úsáideadh é ar dtús in Apache2. Tá an dá réiteach saor in aisce, foinse oscailte agus tá go leor úsáideoirí acu ar fud an domhain. Maidir le mod_security, tá tacair sínithe saor in aisce agus tráchtála ar fáil ar $500 in aghaidh na bliana, le haghaidh NAXSI tá sraith sínithe saor in aisce as an mbosca, agus is féidir leat tacair rialacha breise a fháil freisin, mar doxsi.
I mbliana rinneamar tástáil ar oibriú NAXSI agus Nemesida WAF Free. Go hachomair faoi na torthaí:
- Ní dhíchódaíonn NAXSI URL dúbailte i bhfianáin
- Tógann NAXSI tréimhse an-fhada chun é a chumrú - de réir réamhshocraithe, cuirfidh na socruithe réamhshocraithe riail bac ar fhormhór na n-iarratas agus tú ag obair le feidhmchlár gréasáin (údarú, eagarthóireacht a dhéanamh ar phróifíl nó ábhar, páirt a ghlacadh i suirbhéanna, etc.) agus is gá liostaí eisceachta a ghiniúint. , a bhfuil droch-éifeacht aige ar shlándáil. Ní dhearna Nemesida WAF Free le socruithe réamhshocraithe aon dearfach bréagach amháin agus é ag obair leis an suíomh.
- tá líon na n-ionsaithe caillte do NAXSI i bhfad níos airde, etc.
In ainneoin na n-easnaimh, tá dhá bhuntáiste ar a laghad ag NAXSI agus mod_security - foinse oscailte agus líon mór úsáideoirí. Tacaímid leis an smaoineamh an cód foinse a nochtadh, ach ní féidir linn é seo a dhéanamh fós mar gheall ar fhadhbanna féideartha le “píoráideacht” an leagan tráchtála, ach mar chúiteamh ar an easnamh seo, táimid ag nochtadh ábhar an tsínithe go hiomlán. Is mór againn príobháideacht agus molaimid duit é seo a fhíorú tú féin trí úsáid a bhaint as seachfhreastalaí.
Gnéithe de Nemesida WAF Saor in Aisce:
- bunachar sonraí sínithe ardcháilíochta le híoslíon Bréagach Dearfach agus Bréagach Diúltach.
- suiteáil agus nuashonrú ón stór (tá sé tapa agus áisiúil);
- teagmhais shimplí sothuigthe faoi theagmhais, agus ní “praiseach” cosúil le NAXSI;
- hiomlán saor in aisce, níl aon srianta ar an méid tráchta, óstaigh fíorúil, etc.
Mar fhocal scoir, tabharfaidh mé roinnt ceisteanna chun feidhmíocht WAF a mheas (moltar é a úsáid i ngach ceann de na criosanna: URL, ARGS, Ceanntásca & Comhlacht):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Mura gcuirtear bac ar na hiarratais, is dóichí go gcaillfidh an WAF an fíor-ionsaí. Sula n-úsáideann tú na samplaí, déan cinnte nach bhfuil an WAF ag cur bac ar iarratais dhlisteanacha.
Foinse: will.com