Taun kepungkur kita ngeculake Nemesida WAF Free, modul dinamis kanggo NGINX sing ngalangi serangan ing aplikasi web. Ora kaya versi komersial, sing adhedhasar pembelajaran mesin, versi gratis nganalisa panjaluk mung nggunakake metode teken.
Fitur release Nemesida WAF 4.0.129
Sadurunge rilis saiki, modul dinamis Nemesida WAF mung ndhukung Nginx Stable 1.12, 1.14 lan 1.16. Rilis anyar nambahake dhukungan kanggo Nginx Mainline, wiwit saka 1.17, lan Nginx Plus, wiwit saka 1.15.10 (R18).
Apa nggawe WAF liyane?
NAXSI lan mod_security mbokmenawa minangka modul WAF gratis sing paling populer, lan mod_security aktif dipromosikan dening Nginx, sanajan wiwitane mung digunakake ing Apache2. Kaloro solusi kasebut gratis, mbukak sumber lan duwe akeh pangguna ing saindenging jagad. Kanggo mod_security, free lan pesawat teken komersial kasedhiya kanggo $500 saben taun, kanggo NAXSI ana free pesawat saka teken metu saka kothak, lan sampeyan uga bisa nemokake set tambahan saka aturan, kayata doxsi.
Taun iki kita nyoba operasi NAXSI lan Nemesida WAF Free. Sedhela babagan asil:
- NAXSI ora nindakake decode URL pindho ing cookie
- NAXSI mbutuhake wektu sing suwe banget kanggo ngatur - kanthi gawan, setelan aturan standar bakal ngalangi panjaluk paling akeh nalika nggarap aplikasi web (wewenang, nyunting profil utawa materi, melu survey, lsp) lan perlu kanggo nggawe dhaptar pangecualian. , sing nduwe pengaruh ala marang keamanan. Nemesida WAF Free karo setelan gawan ora nindakake siji positif palsu nalika nggarap situs.
- nomer serangan ora kejawab kanggo NAXSI kakehan luwih, etc.
Sanajan ana kekurangan, NAXSI lan mod_security duwe paling ora rong kaluwihan - sumber terbuka lan akeh pangguna. Kita ndhukung gagasan kanggo mbukak kode sumber, nanging kita ora bisa nindakake iki amarga ana masalah karo "pembajakan" versi komersial, nanging kanggo ijol kanggo shortcomings iki, kita wis kebak isi set teken. Kita ngurmati privasi lan nyaranake sampeyan verifikasi dhewe nggunakake server proxy.
Fitur Nemesida WAF Free:
- database teken kualitas dhuwur karo nomer minimal Palsu Positif lan Palsu Negatif.
- instalasi lan nganyari saka gudang (cepet lan trep);
- acara prasaja lan dingerteni bab kedadean, lan ora "kekacoan" kaya NAXSI;
- rampung free , wis ora watesan ing jumlah lalu lintas, sarwa dumadi virtual, etc.
Kesimpulane, aku bakal menehi sawetara pitakon kanggo ngevaluasi kinerja WAF (disaranake nggunakake ing saben zona: URL, ARGS, Header & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Yen panyuwunan ora diblokir, kemungkinan WAF bakal kantun serangan nyata. Sadurunge nggunakake conto, priksa manawa WAF ora ngalangi panjaluk sing sah.
Source: www.habr.com