Á síðasta ári gáfum við út Nemesida WAF Free, kraftmikla einingu fyrir NGINX sem hindrar árásir á vefforrit. Ólíkt viðskiptaútgáfunni, sem byggir á vélanámi, greinir ókeypis útgáfan beiðnir eingöngu með undirskriftaraðferðinni.
Eiginleikar útgáfu Nemesida WAF 4.0.129
Fyrir núverandi útgáfu studdi Nemesida WAF kraftmikla einingin aðeins Nginx Stable 1.12, 1.14 og 1.16. Nýja útgáfan bætir við stuðningi við Nginx Mainline, frá og með 1.17, og Nginx Plus, frá og með 1.15.10 (R18).
Af hverju að búa til annað WAF?
NAXSI og mod_security eru líklega vinsælustu ókeypis WAF einingarnar og mod_security er virkt kynnt af Nginx, þó upphaflega hafi það aðeins verið notað í Apache2. Báðar lausnirnar eru ókeypis, opinn uppspretta og hafa marga notendur um allan heim. Fyrir mod_security eru ókeypis og viðskiptaleg undirskriftarsett fáanleg fyrir $500 á ári, fyrir NAXSI er ókeypis sett af undirskriftum úr kassanum, og þú getur líka fundið fleiri sett af reglum, svo sem doxsi.
Á þessu ári prófuðum við rekstur NAXSI og Nemesida WAF Free. Stuttlega um niðurstöðurnar:
- NAXSI gerir ekki tvöfalda vefslóð afkóðun í vafrakökum
- NAXSI tekur mjög langan tíma að stilla - sjálfgefið, sjálfgefnar reglustillingar loka fyrir flestar beiðnir þegar unnið er með vefforrit (heimild, breyting á prófíl eða efni, þátttaka í könnunum o.s.frv.) og það er nauðsynlegt að búa til undantekningarlista , sem hefur slæm áhrif á öryggi. Nemesida WAF Free með sjálfgefnum stillingum skilaði ekki einu falsku jákvætti þegar unnið var með síðuna.
- fjöldi misheppnaða árása fyrir NAXSI er margfalt meiri o.s.frv.
Þrátt fyrir gallana hafa NAXSI og mod_security að minnsta kosti tvo kosti - opinn uppspretta og mikinn fjölda notenda. Við styðjum hugmyndina um að birta frumkóðann, en við getum ekki gert þetta ennþá vegna hugsanlegra vandamála með „sjóræningjastarfsemi“ á viðskiptaútgáfunni, en til að bæta upp fyrir þennan galla erum við að birta innihald undirskriftarsettsins að fullu. Við metum næði og mælum með að þú staðfestir þetta sjálfur með proxy-þjóni.
Eiginleikar Nemesida WAF Free:
- hágæða undirskriftagagnagrunn með lágmarksfjölda False Positive og False Negative.
- uppsetning og uppfærsla úr geymslunni (það er hratt og þægilegt);
- einfaldar og skiljanlegar atburðir um atvik, en ekki „rugl“ eins og NAXSI;
- algjörlega ókeypis, hefur engar takmarkanir á umferðarmagni, sýndarhýsingar osfrv.
Að lokum mun ég gefa nokkrar fyrirspurnir til að meta árangur WAF (mælt er með því að nota það á hverju svæði: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ef beiðnum er ekki lokað, þá mun WAF líklegast missa af alvöru árásinni. Áður en þú notar dæmin skaltu ganga úr skugga um að WAF sé ekki að loka fyrir lögmætar beiðnir.
Heimild: www.habr.com