Tavaly kiadtuk a Nemesida WAF Free-t, egy dinamikus modult az NGINX-hez, amely blokkolja a webalkalmazások elleni támadásokat. A kereskedelmi verziótól eltérően, amely gépi tanuláson alapul, az ingyenes verzió csak az aláírási módszerrel elemzi a kéréseket.
A Nemesida WAF 4.0.129 kiadásának jellemzői
A jelenlegi kiadás előtt a Nemesida WAF dinamikus modul csak az Nginx Stable 1.12, 1.14 és 1.16 verzióit támogatta. Az új kiadás támogatja az Nginx Mainline-t 1.17-től és az Nginx Plus-t 1.15.10-től (R18).
Miért készítsünk még egy WAF-ot?
A NAXSI és a mod_security valószínűleg a legnépszerűbb ingyenes WAF-modulok, és a mod_security-t az Nginx aktívan támogatja, bár kezdetben csak az Apache2-ben használták. Mindkét megoldás ingyenes, nyílt forráskódú, és sok felhasználóval rendelkezik szerte a világon. A mod_security esetében ingyenes és kereskedelmi aláíráskészletek érhetők el évi 500 dollárért, a NAXSI-hoz ingyenes aláíráskészlet található, és további szabálykészleteket is találhatunk, például a doxsi-t.
Idén teszteltük a NAXSI és a Nemesida WAF Free működését. Az eredményekről röviden:
- A NAXSI nem végez dupla URL-dekódolást a cookie-kban
- A NAXSI konfigurálása nagyon sok időt vesz igénybe – alapértelmezés szerint az alapértelmezett szabálybeállítások blokkolják a legtöbb kérést webalkalmazással végzett munka során (engedélyezés, profil vagy anyag szerkesztése, felmérésekben való részvétel stb.), és kivétellisták létrehozása szükséges , ami rossz hatással van a biztonságra. Az alapértelmezett beállításokkal rendelkező Nemesida WAF Free egyetlen téves pozitív eredményt sem adott az oldallal végzett munka során.
- a NAXSI-nál sokszorosa a kihagyott támadások száma stb.
A hiányosságok ellenére a NAXSI-nak és a mod_security-nek legalább két előnye van - nyílt forráskódú és nagyszámú felhasználó. Támogatjuk a forráskód nyilvánosságra hozatalának ötletét, de ezt egyelőre nem tudjuk megtenni a kereskedelmi verzió „kalózkodásával” kapcsolatos esetleges problémák miatt, de ennek a hiányosságnak a kompenzálására teljes körűen nyilvánosságra hozzuk az aláíráskészlet tartalmát. Nagyra értékeljük az adatvédelmet, és azt javasoljuk, hogy ezt saját maga ellenőrizze egy proxyszerver segítségével.
A Nemesida WAF Free jellemzői:
- kiváló minőségű aláírási adatbázis minimális hamis pozitív és hamis negatív értékkel.
- telepítés és frissítés a tárolóból (gyors és kényelmes);
- egyszerű és érthető események az incidensekről, és nem olyan „rendetlenség”, mint a NAXSI;
- teljesen ingyenes, nincs korlátozás a forgalom nagyságára, virtuális gazdagépre stb.
Befejezésül több lekérdezést adok a WAF teljesítményének értékelésére (ajánlott használni az egyes zónákban: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ha a kérések nincsenek blokkolva, akkor valószínűleg a WAF lemarad az igazi támadásról. A példák használata előtt győződjön meg arról, hogy a WAF nem blokkolja a jogos kéréseket.
Forrás: will.com