Өткен жылы біз Nemesida WAF Free, веб-қосымшаларға шабуылдарды блоктайтын NGINX динамикалық модулін шығардық. Машиналық оқытуға негізделген коммерциялық нұсқадан айырмашылығы, тегін нұсқа сұрауларды тек қолтаңба әдісі арқылы талдайды.
Nemesida WAF 4.0.129 шығарылымының ерекшеліктері
Ағымдағы шығарылымға дейін Nemesida WAF динамикалық модулі тек Nginx Stable 1.12, 1.14 және 1.16 нұсқаларына қолдау көрсетті. Жаңа шығарылым 1.17 бастап Nginx Mainline және 1.15.10 (R18) бастап Nginx Plus қолдауын қосады.
Неліктен басқа WAF жасау керек?
NAXSI және mod_security ең танымал тегін WAF модульдері болуы мүмкін және mod_security Nginx белсенді түрде алға жылжытады, бірақ бастапқыда ол тек Apache2-де қолданылған. Екі шешім де тегін, көзі ашық және бүкіл әлемде көптеген пайдаланушылары бар. mod_security үшін тегін және коммерциялық қолтаңбалар жиынтықтары жылына $500 үшін қол жетімді, NAXSI үшін қораптан тыс тегін қолтаңбалар жинағы бар және сіз сондай-ақ doxsi сияқты қосымша ережелер жинағын таба аласыз.
Осы жылы біз NAXSI және Nemesida WAF Free жұмысын сынадық. Нәтижелер туралы қысқаша:
- NAXSI cookie файлдарында қос URL декодтауын жасамайды
- NAXSI конфигурациялау үшін өте ұзақ уақыт қажет - әдепкі бойынша, әдепкі ереже параметрлері веб-қосымшамен жұмыс істеу кезінде көптеген сұрауларды блоктайды (авторизация, профильді немесе материалды өңдеу, сауалнамаға қатысу және т.б.) және ерекше жағдайлар тізімдерін жасау қажет. , бұл қауіпсіздікке нашар әсер етеді. Әдепкі параметрлері бар Nemesida WAF Free сайтпен жұмыс істеу кезінде бірде-бір жалған позитивті орындамады.
- NAXSI үшін өткізіп алған шабуылдар саны бірнеше есе көп және т.б.
Кемшіліктерге қарамастан, NAXSI және mod_security кем дегенде екі артықшылығы бар - ашық бастапқы код және пайдаланушылардың көп саны. Біз бастапқы кодты ашу идеясын қолдаймыз, бірақ коммерциялық нұсқаның «қарақшылығына» қатысты ықтимал проблемаларға байланысты біз мұны әлі жасай алмаймыз, бірақ бұл кемшіліктің орнын толтыру үшін біз қолтаңбалар жиынтығының мазмұнын толығымен ашып отырмыз. Біз құпиялылықты бағалаймыз және прокси сервер арқылы мұны өзіңіз растауды ұсынамыз.
Nemesida WAF Free мүмкіндіктері:
- Жалған оң және жалған теріс мәндердің ең аз саны бар жоғары сапалы қолтаңба деректер базасы.
- репозиторийден орнату және жаңарту (бұл жылдам және ыңғайлы);
- оқиғалар туралы қарапайым және түсінікті оқиғалар, NAXSI сияқты «бесекі» емес;
- толығымен тегін, трафик көлеміне, виртуалды хосттарға және т.б. шектеулері жоқ.
Қорытындылай келе, мен WAF өнімділігін бағалау үшін бірнеше сұраулар беремін (оны аймақтардың әрқайсысында пайдалану ұсынылады: URL, ARGS, тақырыптар және негізгі мәтін):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Егер сұраулар бұғатталмаса, WAF нақты шабуылды өткізіп жіберуі мүмкін. Мысалдар қолданбас бұрын, WAF заңды сұрауларды блоктамайтынына көз жеткізіңіз.
Ақпарат көзі: www.habr.com