Tahun lalu kami merilis Nemesida WAF Free, modul dinamis untuk NGINX yang memblokir serangan pada aplikasi web. Berbeda dengan versi komersial yang berbasis pembelajaran mesin, versi gratis menganalisis permintaan hanya menggunakan metode tanda tangan.
Fitur rilis Nemesida WAF 4.0.129
Sebelum rilis saat ini, modul dinamis Nemesida WAF hanya mendukung Nginx Stable 1.12, 1.14 dan 1.16. Rilis baru ini menambahkan dukungan untuk Nginx Mainline, mulai dari 1.17, dan Nginx Plus, mulai dari 1.15.10 (R18).
Mengapa membuat WAF lagi?
NAXSI dan mod_security mungkin merupakan modul WAF gratis yang paling populer, dan mod_security dipromosikan secara aktif oleh Nginx, meskipun awalnya hanya digunakan di Apache2. Kedua solusi tersebut gratis, open source dan memiliki banyak pengguna di seluruh dunia. Untuk mod_security, kumpulan tanda tangan gratis dan komersial tersedia dengan harga $500 per tahun, untuk NAXSI ada kumpulan tanda tangan gratis, dan Anda juga dapat menemukan kumpulan aturan tambahan, seperti doxsi.
Tahun ini kami menguji pengoperasian NAXSI dan Nemesida WAF Free. Secara singkat tentang hasilnya:
- NAXSI tidak melakukan dekode URL ganda dalam cookie
- NAXSI membutuhkan waktu yang sangat lama untuk dikonfigurasi - secara default, pengaturan aturan default akan memblokir sebagian besar permintaan saat bekerja dengan aplikasi web (otorisasi, mengedit profil atau materi, berpartisipasi dalam survei, dll.) dan perlu untuk membuat daftar pengecualian , yang berdampak buruk pada keamanan. Nemesida WAF Gratis dengan pengaturan default tidak melakukan satu pun kesalahan positif saat bekerja dengan situs ini.
- jumlah serangan yang terlewat untuk NAXSI berkali-kali lipat lebih tinggi, dll.
Terlepas dari kekurangannya, NAXSI dan mod_security memiliki setidaknya dua keunggulan - open source dan jumlah pengguna yang besar. Kami mendukung gagasan untuk mengungkapkan kode sumber, tetapi kami belum dapat melakukan ini karena kemungkinan masalah dengan βpembajakanβ versi komersial, tetapi untuk mengimbangi kekurangan ini, kami mengungkapkan sepenuhnya isi kumpulan tanda tangan. Kami menghargai privasi dan menyarankan Anda memverifikasinya sendiri menggunakan server proxy.
Fitur Nemesida WAF Gratis:
- database tanda tangan berkualitas tinggi dengan jumlah minimum False Positive dan False Negative.
- instalasi dan pembaruan dari repositori (cepat dan nyaman);
- peristiwa yang sederhana dan mudah dipahami tentang insiden, dan tidak βberantakanβ seperti NAXSI;
- sepenuhnya gratis, tidak memiliki batasan jumlah lalu lintas, host virtual, dll.
Sebagai kesimpulan, saya akan memberikan beberapa pertanyaan untuk mengevaluasi kinerja WAF (disarankan untuk menggunakannya di setiap zona: URL, ARGS, Header & Isi):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Jika permintaan tidak diblokir, kemungkinan besar WAF akan melewatkan serangan sebenarnya. Sebelum menggunakan contoh, pastikan WAF tidak memblokir permintaan yang sah.
Sumber: www.habr.com