מבנה חדש של Nemesida WAF Free עבור NGINX

בשנה שעברה שחררנו את Nemesida WAF Free, מודול דינמי עבור NGINX שחוסם התקפות על יישומי אינטרנט. בניגוד לגרסה המסחרית, המבוססת על למידת מכונה, הגרסה החינמית מנתחת בקשות רק בשיטת החתימה.

תכונות של שחרור Nemesida WAF 4.0.129

לפני המהדורה הנוכחית, המודול הדינמי Nemesida WAF תמך רק ב-Nginx Stable 1.12, 1.14 ו-1.16. המהדורה החדשה מוסיפה תמיכה ב-Nginx Mainline, החל מ-1.17, ו-Nginx Plus, החל מ-1.15.10 (R18).

למה לעשות עוד WAF?

NAXSI ו-mod_security הם כנראה מודולי ה-WAF החינמיים הפופולריים ביותר, ו-mod_security מקודם באופן פעיל על ידי Nginx, אם כי בתחילה נעשה בו שימוש רק ב-Apache2. שני הפתרונות הם חינמיים, קוד פתוח ויש להם משתמשים רבים ברחבי העולם. עבור mod_security, ערכות חתימות בחינם ומסחריות זמינות תמורת 500$ לשנה, עבור NAXSI יש סט חתימות חינם מהקופסה, ותוכלו למצוא גם סטים נוספים של כללים, כמו doxsi.

השנה בדקנו את הפעולה של NAXSI ושל Nemesida WAF Free. בקצרה על התוצאות:

• NAXSI אינו מבצע פענוח כפול של כתובת URL בקובצי Cookie
• ל-NAXSI לוקח הרבה מאוד זמן להגדיר - כברירת מחדל, הגדרות כלל ברירת המחדל יחסמו את רוב הבקשות בעבודה עם יישום אינטרנט (הרשאה, עריכת פרופיל או חומר, השתתפות בסקרים וכו') ויש צורך ליצור רשימות חריגים , מה שמשפיע לרעה על האבטחה. Nemesida WAF Free עם הגדרות ברירת המחדל לא ביצעה ולו חיובי שגוי אחד בזמן העבודה עם האתר.
• מספר ההתקפות שהוחמצו עבור NAXSI גבוה פי כמה, וכו'.

למרות החסרונות, ל-NAXSI ול-mod_security יש לפחות שני יתרונות - קוד פתוח ומספר רב של משתמשים. אנו תומכים ברעיון לחשוף את קוד המקור, אך איננו יכולים לעשות זאת עדיין עקב בעיות אפשריות עם "פיראטיות" של הגרסה המסחרית, אך כדי לפצות על חסרון זה, אנו חושפים במלואם את תוכן ערכת החתימות. אנו מעריכים פרטיות ומציעים לך לאמת זאת בעצמך באמצעות שרת פרוקסי.

תכונות של Nemesida WAF Free:

• מסד נתונים איכותי של חתימות עם מספר מינימלי של חיובי כוזב ושלילי כוזב.
• התקנה ועדכון מהמאגר (זה מהיר ונוח);
• אירועים פשוטים ומובנים על תקריות, ולא "בלגן" כמו NAXSI;
• בחינם לחלוטין, אין הגבלות על כמות התעבורה, מארחים וירטואליים וכו'.

לסיכום, אתן מספר שאילתות להערכת הביצועים של WAF (מומלץ להשתמש בו בכל אחד מהאזורים: URL, ARGS, Headers & Body):

')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"] ')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"] union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"] ')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] ')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"] ')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] %5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//

אם הבקשות לא ייחסמו, סביר להניח שה-WAF יחמיץ את המתקפה האמיתית. לפני השימוש בדוגמאות, ודא שה-WAF אינו חוסם בקשות לגיטימיות.

מקור: www.habr.com