O ano pasado publicamos Nemesida WAF Free, un módulo dinámico para NGINX que bloquea ataques a aplicacións web. A diferenza da versión comercial, que se basea na aprendizaxe automática, a versión gratuíta analiza as solicitudes só mediante o método de sinatura.
Características do lanzamento de Nemesida WAF 4.0.129
Antes da versión actual, o módulo dinámico Nemesida WAF só admitía Nginx Stable 1.12, 1.14 e 1.16. A nova versión engade soporte para Nginx Mainline, a partir da 1.17, e Nginx Plus, a partir da 1.15.10 (R18).
Por que facer outro WAF?
NAXSI e mod_security son probablemente os módulos WAF gratuítos máis populares, e mod_security é promovido activamente por Nginx, aínda que inicialmente só se utilizou en Apache2. Ambas as solucións son gratuítas, de código aberto e teñen moitos usuarios en todo o mundo. Para mod_security, os conxuntos de sinaturas gratuítos e comerciais están dispoñibles por 500 dólares ao ano, para NAXSI hai un conxunto gratuíto de sinaturas fóra da caixa e tamén podes atopar conxuntos de regras adicionais, como doxsi.
Este ano probamos o funcionamento de NAXSI e Nemesida WAF Free. Brevemente sobre os resultados:
- NAXSI non decodifica URL dobre nas cookies
- A configuración de NAXSI leva moito tempo - por defecto, a configuración da regra predeterminada bloqueará a maioría das solicitudes cando se traballe cunha aplicación web (autorización, edición dun perfil ou material, participación en enquisas, etc.) e é necesario xerar listas de excepcións. , o que ten un mal efecto na seguridade. Nemesida WAF Free coa configuración predeterminada non realizou ningún falso positivo mentres traballaba co sitio.
- o número de ataques perdidos para NAXSI é moitas veces maior, etc.
A pesar das deficiencias, NAXSI e mod_security teñen polo menos dúas vantaxes: código aberto e un gran número de usuarios. Apoiamos a idea de revelar o código fonte, pero aínda non podemos facelo debido a posibles problemas coa "piratería" da versión comercial, pero para compensar esta deficiencia, estamos a revelar completamente o contido do conxunto de sinaturas. Valoramos a privacidade e suxerímoslle que o verifique vostede mesmo mediante un servidor proxy.
Características de Nemesida WAF Free:
- base de datos de sinaturas de alta calidade cun número mínimo de falsos positivos e falsos negativos.
- instalación e actualización desde o repositorio (é rápido e cómodo);
- sucesos sinxelos e comprensibles sobre incidentes, e non un "desorde" como NAXSI;
- totalmente gratuíto, non ten restricións sobre a cantidade de tráfico, hosts virtuais, etc.
Como conclusión, darei varias consultas para avaliar o rendemento de WAF (recoméndase usalo en cada unha das zonas: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Se non se bloquean as solicitudes, o máis probable é que o WAF perda o ataque real. Antes de usar os exemplos, asegúrese de que o WAF non está bloqueando solicitudes lexítimas.
Fonte: www.habr.com