Tavaly kiadtuk a Nemesida WAF Free-t, egy dinamikus modult az NGINX-hez, amely blokkolja a webalkalmazások elleni támadásokat. A kereskedelmi verziótól eltérően, amely gépi tanuláson alapul, az ingyenes verzió csak az aláírási módszerrel elemzi a kéréseket.
A Nemesida WAF 4.0.129 kiadásának jellemzői
A jelenlegi kiadás előtt a Nemesida WAF dinamikus modul csak az Nginx Stable 1.12, 1.14 és 1.16 verzióit támogatta. Az új kiadás támogatja az Nginx Mainline-t 1.17-től és az Nginx Plus-t 1.15.10-től (R18).
Miért készítsünk még egy WAF-ot?
A NAXSI és a mod_security valószínűleg a legnépszerűbb ingyenes WAF-modulok, és a mod_security-t az Nginx aktívan támogatja, bár kezdetben csak az Apache2-ben használták. Mindkét megoldás ingyenes, nyílt forráskódú, és sok felhasználóval rendelkezik szerte a világon. A mod_security esetében ingyenes és kereskedelmi aláíráskészletek érhetők el évi 500 dollárért, a NAXSI-hoz ingyenes aláíráskészlet található, és további szabálykészleteket is találhatunk, például a doxsi-t.
Idén teszteltük a NAXSI és a Nemesida WAF Free működését. Az eredményekről röviden:
- A NAXSI nem végez dupla URL-dekódolást a cookie-kban
- A NAXSI konfigurálása nagyon sok időt vesz igénybe – alapértelmezés szerint az alapértelmezett szabálybeállítások blokkolják a legtöbb kérést webalkalmazással végzett munka során (engedélyezés, profil vagy anyag szerkesztése, felmérésekben való részvétel stb.), és kivétellisták létrehozása szükséges , ami rossz hatással van a biztonságra. Az alapértelmezett beállításokkal rendelkező Nemesida WAF Free egyetlen téves pozitív eredményt sem adott az oldallal végzett munka során.
- a NAXSI-nál sokszorosa a kihagyott támadások száma stb.
Hiányosságaik ellenére a NAXSI és a mod_security legalább két előnnyel rendelkezik: a nyílt forráskód és a nagy felhasználói bázis. Támogatjuk a forráskód nyilvánosságra hozatalának ötletét, de jelenleg nem tudjuk ezt megtenni a kereskedelmi verzióval kapcsolatos lehetséges kalózkodási problémák miatt. Ennek kompenzálására teljes mértékben nyilvánosságra hozzuk az aláíráskészlet tartalmát. Nagyra értékeljük az adatvédelmet, és arra kérjük, hogy proxy segítségével saját maga is tapasztalja meg ezt.szerver.
A Nemesida WAF Free jellemzői:
- kiváló minőségű aláírási adatbázis minimális hamis pozitív és hamis negatív értékkel.
- telepítés és frissítés a tárolóból (gyors és kényelmes);
- egyszerű és érthető események az incidensekről, és nem olyan „rendetlenség”, mint a NAXSI;
- teljesen ingyenes, nincs korlátozás a forgalom nagyságára, virtuális gazdagépre stb.
Befejezésül több lekérdezést adok a WAF teljesítményének értékelésére (ajánlott használni az egyes zónákban: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ha a kérések nincsenek blokkolva, akkor valószínűleg a WAF lemarad az igazi támadásról. A példák használata előtt győződjön meg arról, hogy a WAF nem blokkolja a jogos kéréseket.
Forrás: will.com
