Անցյալ տարի մենք թողարկեցինք Nemesida WAF Free-ը, դինամիկ մոդուլ NGINX-ի համար, որն արգելափակում է վեբ հավելվածների վրա հարձակումները: Ի տարբերություն կոմերցիոն տարբերակի, որը հիմնված է մեքենայական ուսուցման վրա, անվճար տարբերակը վերլուծում է հարցումները միայն ստորագրության մեթոդով։
Nemesida WAF 4.0.129-ի թողարկման առանձնահատկությունները
Մինչև ընթացիկ թողարկումը, Nemesida WAF դինամիկ մոդուլն աջակցում էր միայն Nginx Stable 1.12, 1.14 և 1.16: Նոր թողարկումն ավելացնում է Nginx Mainline-ի աջակցությունը՝ սկսած 1.17-ից և Nginx Plus-ից՝ սկսած 1.15.10-ից (R18):
Ինչու՞ պատրաստել ևս մեկ WAF:
NAXSI-ը և mod_security-ը, հավանաբար, ամենահայտնի անվճար WAF մոդուլներն են, և mod_security-ն ակտիվորեն խթանվում է Nginx-ի կողմից, չնայած սկզբում այն օգտագործվում էր միայն Apache2-ում: Երկու լուծումներն էլ անվճար են, բաց կոդով և ունեն բազմաթիվ օգտատերեր ամբողջ աշխարհում: Mod_security-ի համար անվճար և առևտրային ստորագրությունների հավաքածուները հասանելի են տարեկան $500-ով, NAXSI-ի համար կա ստորագրությունների անվճար փաթեթ, ինչպես նաև կարող եք գտնել լրացուցիչ կանոնների հավաքածուներ, ինչպիսիք են doxsi-ն:
Այս տարի մենք փորձարկեցինք NAXSI-ի և Nemesida WAF Free-ի աշխատանքը: Հակիրճ արդյունքների մասին.
- NAXSI-ը չի կրկնակի URL վերծանում քուքիներում
- NAXSI-ի կազմաձևման համար շատ երկար ժամանակ է պահանջվում. լռելյայն կանոնների կարգավորումները կարգելափակեն վեբ հավելվածի հետ աշխատելիս հարցումների մեծ մասը (լիազորում, պրոֆիլի կամ նյութի խմբագրում, հարցումների մասնակցություն և այլն) և անհրաժեշտ է ստեղծել բացառությունների ցուցակներ: , ինչը վատ է անդրադառնում անվտանգության վրա։ Nemesida WAF Free-ը լռելյայն կարգավորումներով ոչ մի կեղծ պոզիտիվ չի կատարել կայքի հետ աշխատելիս:
- NAXSI-ի համար բաց թողնված հարձակումների թիվը բազմապատիկ ավելի է և այլն:
Չնայած թերություններին՝ NAXSI-ն և mod_security-ն ունեն առնվազն երկու առավելություն՝ բաց կոդով և մեծ թվով օգտատերեր։ Մենք աջակցում ենք սկզբնաղբյուրի բացահայտման գաղափարին, բայց մենք դեռ չենք կարող դա անել առևտրային տարբերակի «պահեստի» հետ կապված հնարավոր խնդիրների պատճառով, սակայն այս թերությունը փոխհատուցելու համար մենք ամբողջությամբ բացահայտում ենք ստորագրությունների հավաքածուի բովանդակությունը: Մենք կարևորում ենք գաղտնիությունը և առաջարկում ենք դա հաստատել ինքներդ՝ օգտագործելով պրոքսի սերվեր:
Nemesida WAF Free-ի առանձնահատկությունները.
- բարձրորակ ստորագրությունների տվյալների բազա՝ կեղծ դրական և կեղծ բացասականների նվազագույն քանակով:
- տեղադրում և թարմացում պահեստից (դա արագ և հարմար է);
- պարզ և հասկանալի իրադարձություններ միջադեպերի վերաբերյալ, և ոչ թե NAXSI-ի նման «խառնաշփոթ».
- լիովին անվճար, չունի սահմանափակումներ թրաֆիկի քանակի, վիրտուալ հոսթների և այլնի վերաբերյալ:
Եզրափակելով, ես կտամ մի քանի հարցումներ WAF-ի կատարումը գնահատելու համար (խորհուրդ է տրվում օգտագործել այն գոտիներից յուրաքանչյուրում՝ URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Եթե հարցումները արգելափակված չեն, ապա, ամենայն հավանականությամբ, WAF-ը բաց կթողնի իրական հարձակումը: Նախքան օրինակներն օգտագործելը, համոզվեք, որ WAF-ը չի արգելափակում օրինական հարցումները:
Source: www.habr.com