ಕಳೆದ ವರ್ಷ ನಾವು Nemesida WAF ಫ್ರೀ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದ್ದೇವೆ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲಿನ ದಾಳಿಯನ್ನು ನಿರ್ಬಂಧಿಸುವ NGINX ಗಾಗಿ ಡೈನಾಮಿಕ್ ಮಾಡ್ಯೂಲ್. ಯಂತ್ರ ಕಲಿಕೆಯ ಆಧಾರದ ಮೇಲೆ ವಾಣಿಜ್ಯ ಆವೃತ್ತಿಗಿಂತ ಭಿನ್ನವಾಗಿ, ಉಚಿತ ಆವೃತ್ತಿಯು ಸಹಿ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ವಿನಂತಿಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ.
ನೆಮೆಸಿಡಾ WAF 4.0.129 ಬಿಡುಗಡೆಯ ವೈಶಿಷ್ಟ್ಯಗಳು
ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಯ ಮೊದಲು, Nemesida WAF ಡೈನಾಮಿಕ್ ಮಾಡ್ಯೂಲ್ Nginx ಸ್ಟೇಬಲ್ 1.12, 1.14 ಮತ್ತು 1.16 ಅನ್ನು ಮಾತ್ರ ಬೆಂಬಲಿಸುತ್ತದೆ. ಹೊಸ ಬಿಡುಗಡೆಯು 1.17 ರಿಂದ ಪ್ರಾರಂಭವಾಗುವ Nginx ಮೇನ್ಲೈನ್ಗೆ ಮತ್ತು 1.15.10 (R18) ನಿಂದ ಪ್ರಾರಂಭವಾಗುವ Nginx Plus ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸುತ್ತದೆ.
ಇನ್ನೊಂದು WAF ಅನ್ನು ಏಕೆ ತಯಾರಿಸಬೇಕು?
NAXSI ಮತ್ತು mod_security ಬಹುಶಃ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಉಚಿತ WAF ಮಾಡ್ಯೂಲ್ಗಳಾಗಿವೆ, ಮತ್ತು mod_security ಅನ್ನು Nginx ನಿಂದ ಸಕ್ರಿಯವಾಗಿ ಪ್ರಚಾರ ಮಾಡಲಾಗಿದೆ, ಆದಾಗ್ಯೂ ಆರಂಭದಲ್ಲಿ ಇದನ್ನು Apache2 ನಲ್ಲಿ ಮಾತ್ರ ಬಳಸಲಾಗುತ್ತಿತ್ತು. ಎರಡೂ ಪರಿಹಾರಗಳು ಉಚಿತ, ಮುಕ್ತ ಮೂಲ ಮತ್ತು ಪ್ರಪಂಚದಾದ್ಯಂತ ಅನೇಕ ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿವೆ. mod_security ಗಾಗಿ, ಉಚಿತ ಮತ್ತು ವಾಣಿಜ್ಯ ಸಹಿ ಸೆಟ್ಗಳು ವರ್ಷಕ್ಕೆ $500 ಕ್ಕೆ ಲಭ್ಯವಿರುತ್ತವೆ, NAXSI ಗಾಗಿ ಬಾಕ್ಸ್ನ ಹೊರಗೆ ಉಚಿತ ಸಹಿಗಳಿವೆ, ಮತ್ತು ಡಾಕ್ಸಿಯಂತಹ ಹೆಚ್ಚುವರಿ ನಿಯಮಗಳ ಸೆಟ್ಗಳನ್ನು ಸಹ ನೀವು ಕಾಣಬಹುದು.
ಈ ವರ್ಷ ನಾವು NAXSI ಮತ್ತು Nemesida WAF ಫ್ರೀ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪರೀಕ್ಷಿಸಿದ್ದೇವೆ. ಫಲಿತಾಂಶಗಳ ಬಗ್ಗೆ ಸಂಕ್ಷಿಪ್ತವಾಗಿ:
- NAXSI ಕುಕೀಗಳಲ್ಲಿ ಡಬಲ್ URL ಡಿಕೋಡ್ ಮಾಡುವುದಿಲ್ಲ
- NAXSI ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ - ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ಡೀಫಾಲ್ಟ್ ನಿಯಮ ಸೆಟ್ಟಿಂಗ್ಗಳು ಹೆಚ್ಚಿನ ವಿನಂತಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ (ಅಧಿಕಾರ, ಪ್ರೊಫೈಲ್ ಅಥವಾ ವಸ್ತುವನ್ನು ಸಂಪಾದಿಸುವುದು, ಸಮೀಕ್ಷೆಗಳಲ್ಲಿ ಭಾಗವಹಿಸುವುದು, ಇತ್ಯಾದಿ.) ಮತ್ತು ವಿನಾಯಿತಿ ಪಟ್ಟಿಗಳನ್ನು ರಚಿಸುವುದು ಅವಶ್ಯಕ , ಇದು ಭದ್ರತೆಯ ಮೇಲೆ ಕೆಟ್ಟ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ ನೆಮೆಸಿಡಾ WAF ಫ್ರೀ ಸೈಟ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ಒಂದೇ ಒಂದು ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ನಿರ್ವಹಿಸಲಿಲ್ಲ.
- NAXSI ಗಾಗಿ ತಪ್ಪಿದ ದಾಳಿಗಳ ಸಂಖ್ಯೆ ಹಲವು ಪಟ್ಟು ಹೆಚ್ಚಾಗಿದೆ, ಇತ್ಯಾದಿ.
ನ್ಯೂನತೆಗಳ ಹೊರತಾಗಿಯೂ, NAXSI ಮತ್ತು mod_security ಕನಿಷ್ಠ ಎರಡು ಪ್ರಯೋಜನಗಳನ್ನು ಹೊಂದಿವೆ - ತೆರೆದ ಮೂಲ ಮತ್ತು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಬಳಕೆದಾರರು. ಮೂಲ ಕೋಡ್ ಅನ್ನು ಬಹಿರಂಗಪಡಿಸುವ ಕಲ್ಪನೆಯನ್ನು ನಾವು ಬೆಂಬಲಿಸುತ್ತೇವೆ, ಆದರೆ ವಾಣಿಜ್ಯ ಆವೃತ್ತಿಯ "ಕಡಲ್ಗಳ್ಳತನ" ದ ಸಂಭವನೀಯ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ ನಾವು ಇದನ್ನು ಇನ್ನೂ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ, ಆದರೆ ಈ ನ್ಯೂನತೆಯನ್ನು ಸರಿದೂಗಿಸಲು, ನಾವು ಸಿಗ್ನೇಚರ್ ಸೆಟ್ನ ವಿಷಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಬಹಿರಂಗಪಡಿಸುತ್ತೇವೆ. ನಾವು ಗೌಪ್ಯತೆಯನ್ನು ಗೌರವಿಸುತ್ತೇವೆ ಮತ್ತು ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಇದನ್ನು ನೀವೇ ಪರಿಶೀಲಿಸಲು ಸಲಹೆ ನೀಡುತ್ತೇವೆ.
ನೆಮೆಸಿಡಾ WAF ಉಚಿತ ವೈಶಿಷ್ಟ್ಯಗಳು:
- ಕನಿಷ್ಠ ಸಂಖ್ಯೆಯ ತಪ್ಪು ಧನಾತ್ಮಕ ಮತ್ತು ತಪ್ಪು ಋಣಾತ್ಮಕವಾದ ಉತ್ತಮ ಗುಣಮಟ್ಟದ ಸಹಿ ಡೇಟಾಬೇಸ್.
- ರೆಪೊಸಿಟರಿಯಿಂದ ಸ್ಥಾಪನೆ ಮತ್ತು ನವೀಕರಣ (ಇದು ವೇಗ ಮತ್ತು ಅನುಕೂಲಕರವಾಗಿದೆ);
- ಘಟನೆಗಳ ಬಗ್ಗೆ ಸರಳ ಮತ್ತು ಅರ್ಥವಾಗುವ ಘಟನೆಗಳು, ಮತ್ತು NAXSI ನಂತಹ "ಅವ್ಯವಸ್ಥೆ" ಅಲ್ಲ;
- ಸಂಪೂರ್ಣವಾಗಿ ಉಚಿತ, ದಟ್ಟಣೆಯ ಪ್ರಮಾಣ, ವರ್ಚುವಲ್ ಹೋಸ್ಟ್ಗಳು ಇತ್ಯಾದಿಗಳ ಮೇಲೆ ಯಾವುದೇ ನಿರ್ಬಂಧಗಳಿಲ್ಲ.
ಕೊನೆಯಲ್ಲಿ, WAF ನ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ನಾನು ಹಲವಾರು ಪ್ರಶ್ನೆಗಳನ್ನು ನೀಡುತ್ತೇನೆ (ಪ್ರತಿಯೊಂದು ವಲಯಗಳಲ್ಲಿ ಇದನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ: URL, ARGS, ಹೆಡರ್ಗಳು ಮತ್ತು ದೇಹ):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
ವಿನಂತಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸದಿದ್ದರೆ, ಹೆಚ್ಚಾಗಿ WAF ನಿಜವಾದ ದಾಳಿಯನ್ನು ಕಳೆದುಕೊಳ್ಳುತ್ತದೆ. ಉದಾಹರಣೆಗಳನ್ನು ಬಳಸುವ ಮೊದಲು, WAF ಕಾನೂನುಬದ್ಧ ವಿನಂತಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
ಮೂಲ: www.habr.com