Prošle smo godine izdali Nemesida WAF Free, dinamički modul za NGINX koji blokira napade na web aplikacije. Za razliku od komercijalne verzije koja se temelji na strojnom učenju, besplatna verzija analizira zahtjeve samo metodom potpisa.
Značajke izdanja Nemesida WAF 4.0.129
Prije trenutnog izdanja, dinamički modul Nemesida WAF podržavao je samo Nginx Stable 1.12, 1.14 i 1.16. Novo izdanje dodaje podršku za Nginx Mainline, počevši od 1.17, i Nginx Plus, počevši od 1.15.10 (R18).
Zašto napraviti još jedan WAF?
NAXSI i mod_security vjerojatno su najpopularniji besplatni WAF moduli, a mod_security aktivno promovira Nginx, iako se u početku koristio samo u Apache2. Oba rješenja su besplatna, otvorenog koda i imaju mnogo korisnika diljem svijeta. Za mod_security, dostupni su besplatni i komercijalni skupovi potpisa za 500 USD godišnje, za NAXSI postoji besplatan skup potpisa odmah iza kutije, a možete pronaći i dodatne skupove pravila, kao što je doxsi.
Ove godine testirali smo rad NAXSI i Nemesida WAF Free. Ukratko o rezultatima:
- NAXSI ne dekodira dvostruki URL u kolačićima
- Konfiguracija NAXSI-ja traje jako dugo - prema zadanim postavkama zadane postavke pravila blokirat će većinu zahtjeva pri radu s web aplikacijom (autorizacija, uređivanje profila ili materijala, sudjelovanje u anketama itd.) te je potrebno generirati popise izuzetaka , što loše utječe na sigurnost. Nemesida WAF Free sa zadanim postavkama nije pokazala niti jedan lažni pozitivan rezultat tijekom rada sa web mjestom.
- broj promašenih napada za NAXSI višestruko veći, itd.
Unatoč nedostacima, NAXSI i mod_security imaju barem dvije prednosti – otvoreni kod i velik broj korisnika. Podržavamo ideju otkrivanja izvornog koda, ali to još ne možemo učiniti zbog mogućih problema s "piratstvom" komercijalne verzije, ali kako bismo nadoknadili ovaj nedostatak, u potpunosti otkrivamo sadržaj kompleta potpisa. Cijenimo privatnost i predlažemo da to sami provjerite koristeći proxy poslužitelj.
Značajke Nemesida WAF Free:
- visokokvalitetna baza podataka potpisa s minimalnim brojem lažno pozitivnih i lažno negativnih.
- instalacija i ažuriranje iz repozitorija (brzo je i praktično);
- jednostavni i razumljivi događaji o incidentima, a ne "nered" poput NAXSI-ja;
- potpuno besplatno, nema ograničenja u količini prometa, virtualnih hostova itd.
Zaključno, dat ću nekoliko upita za procjenu izvedbe WAF-a (preporuča se koristiti ga u svakoj od zona: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ako zahtjevi nisu blokirani, WAF će najvjerojatnije propustiti pravi napad. Prije korištenja primjera, provjerite da WAF ne blokira legitimne zahtjeve.
Izvor: www.habr.com