L'anno scorso abbiamo rilasciato Nemesida WAF Free, un modulo dinamico per NGINX che blocca gli attacchi alle applicazioni web. A differenza della versione commerciale, che si basa sul machine learning, la versione gratuita analizza le richieste esclusivamente utilizzando il metodo della firma.
Caratteristiche del rilascio di Nemesida WAF 4.0.129
Prima della versione attuale, il modulo dinamico Nemesida WAF supportava solo Nginx Stable 1.12, 1.14 e 1.16. La nuova release aggiunge il supporto per Nginx Mainline, a partire dalla 1.17, e Nginx Plus, a partire dalla 1.15.10 (R18).
Perché creare un altro WAF?
NAXSI e mod_security sono probabilmente i moduli WAF gratuiti più popolari e mod_security è attivamente promosso da Nginx, sebbene inizialmente fosse utilizzato solo in Apache2. Entrambe le soluzioni sono gratuite, open source e hanno molti utenti in tutto il mondo. Per mod_security, set di firme gratuiti e commerciali sono disponibili per $ 500 all'anno, per NAXSI c'è un set di firme gratuito pronto all'uso e puoi anche trovare set di regole aggiuntivi, come doxsi.
Quest'anno abbiamo testato il funzionamento di NAXSI e Nemesida WAF Free. Brevemente sui risultati:
- NAXSI non esegue la doppia decodifica dell'URL nei cookie
- NAXSI richiede molto tempo per la configurazione: per impostazione predefinita, le impostazioni predefinite delle regole bloccheranno la maggior parte delle richieste quando si lavora con un'applicazione Web (autorizzazione, modifica di un profilo o materiale, partecipazione a sondaggi, ecc.) ed è necessario generare elenchi di eccezioni , che ha un effetto negativo sulla sicurezza. Nemesida WAF Free con le impostazioni predefinite non ha eseguito un singolo falso positivo mentre lavorava con il sito.
- il numero di attacchi mancati per NAXSI è molte volte superiore, ecc.
Nonostante le carenze, NAXSI e mod_security presentano almeno due vantaggi: open source e un gran numero di utenti. Sosteniamo l'idea di divulgare il codice sorgente, ma non possiamo ancora farlo a causa di possibili problemi di "pirateria" della versione commerciale, ma per compensare questa lacuna, divulgheremo integralmente il contenuto del set di firme. Apprezziamo la privacy e ti suggeriamo di verificarla tu stesso utilizzando un server proxy.
Caratteristiche di Nemesida WAF gratuito:
- database di firme di alta qualità con un numero minimo di falsi positivi e falsi negativi.
- installazione e aggiornamento dal repository (è veloce e conveniente);
- eventi semplici e comprensibili sugli incidenti e non un “pasticcio” come NAXSI;
- completamente gratuito, non ha restrizioni sulla quantità di traffico, host virtuali, ecc.
In conclusione, fornirò diverse query per valutare le prestazioni di WAF (si consiglia di utilizzarlo in ciascuna delle zone: URL, ARGS, intestazioni e corpo):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Se le richieste non vengono bloccate, molto probabilmente il WAF mancherà l’attacco vero e proprio. Prima di utilizzare gli esempi, assicurati che il WAF non blocchi le richieste legittime.
Fonte: habr.com