Ane pase a nou te pibliye Nemesida WAF Free, yon modil dinamik pou NGINX ki bloke atak sou aplikasyon entènèt yo. Kontrèman ak vèsyon komèsyal la, ki baze sou aprantisaj machin, vèsyon gratis la analize demann sèlman lè l sèvi avèk metòd siyati a.
Karakteristik nan liberasyon an nan Nemesida WAF 4.0.129
Anvan liberasyon aktyèl la, modil dinamik Nemesida WAF te sipòte sèlman Nginx Stable 1.12, 1.14 ak 1.16. Nouvo lage a ajoute sipò pou Nginx Mainline, kòmanse nan 1.17, ak Nginx Plus, kòmanse soti nan 1.15.10 (R18).
Poukisa fè yon lòt WAF?
NAXSI ak mod_security se pwobableman modil WAF gratis ki pi popilè, epi Nginx ankouraje mod_security aktivman, byenke okòmansman li te itilize sèlman nan Apache2. Tou de solisyon yo gratis, sous louvri epi yo gen anpil itilizatè atravè mond lan. Pou mod_security, seri siyati gratis ak komèsyal yo disponib pou $ 500 pa ane, pou NAXSI gen yon seri siyati gratis soti nan bwat la, epi ou ka jwenn tou seri adisyonèl nan règ, tankou doxsi.
Ane sa a nou teste operasyon NAXSI ak Nemesida WAF gratis. Yon ti tan sou rezilta yo:
- NAXSI pa fè dekode URL doub nan bonbon
- NAXSI pran yon tan trè long pou konfigirasyon - pa default, paramèt règ yo pral bloke pifò demann lè w ap travay ak yon aplikasyon entènèt (otorizasyon, modifye yon pwofil oswa materyèl, patisipe nan sondaj, elatriye) epi li nesesè jenere lis eksepsyon. , ki gen yon move efè sou sekirite. Nemesida WAF Free ak paramèt default pa t fè yon sèl fo pozitif pandan w ap travay ak sit la.
- kantite atak rate pou NAXSI anpil fwa pi wo, elatriye.
Malgre enpèfeksyon yo, NAXSI ak mod_security gen omwen de avantaj - sous louvri ak yon gwo kantite itilizatè. Nou sipòte lide pou divilge kòd sous la, men nou pa ka fè sa ankò akòz pwoblèm posib ak "piratage" nan vèsyon komèsyal la, men pou konpanse pou enpèfeksyon sa a, nou konplètman divilge sa ki nan seri siyati a. Nou apresye vi prive epi sijere ou verifye sa ou menm lè l sèvi avèk yon sèvè prokurasyon.
Karakteristik Nemesida WAF gratis:
- bon jan kalite baz done siyati ak yon kantite minimòm Fo Pozitif ak Fo Negatif.
- enstalasyon ak aktyalizasyon soti nan repozitwa a (li rapid ak pratik);
- evènman senp ak konprann sou ensidan, epi yo pa yon "dezòd" tankou NAXSI;
- konplètman gratis, pa gen okenn restriksyon sou kantite trafik, lame vityèl, elatriye.
An konklizyon, mwen pral bay plizyè demann pou evalye pèfòmans WAF (li rekòmande pou itilize li nan chak nan zòn yo: URL, ARGS, Headers & Kò):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Si demann yo pa bloke, lè sa a gen plis chans WAF a pral manke atak la reyèl. Anvan w sèvi ak egzanp yo, asire w ke WAF la pa bloke demann lejitim yo.
Sous: www.habr.com