NGINX용 Nemesida WAF Free의 새로운 빌드

작년에 우리는 웹 애플리케이션에 대한 공격을 차단하는 NGINX용 동적 모듈인 Nemesida WAF Free를 출시했습니다. 머신러닝 기반의 상용 버전과 달리 무료 버전은 서명 방식만을 이용해 요청을 분석한다.

Nemesida WAF 4.0.129 릴리스의 특징

현재 릴리스 이전에 Nemesida WAF 동적 모듈은 Nginx Stable 1.12, 1.14 및 1.16만 지원했습니다. 새 릴리스에는 1.17부터 Nginx Mainline에 대한 지원과 1.15.10(R18)부터 Nginx Plus에 대한 지원이 추가되었습니다.

또 다른 WAF를 만드는 이유는 무엇입니까?

NAXSI와 mod_security는 아마도 가장 인기 있는 무료 WAF 모듈일 것입니다. mod_security는 처음에는 Apache2에서만 사용되었지만 Nginx에서 적극적으로 홍보합니다. 두 솔루션 모두 무료 오픈 소스이며 전 세계적으로 많은 사용자를 보유하고 있습니다. mod_security의 경우 무료 및 상업용 서명 세트를 연간 $500에 사용할 수 있으며, NAXSI의 경우 기본적으로 무료 서명 세트가 있으며 doxsi와 같은 추가 규칙 세트도 찾을 수 있습니다.

올해 우리는 NAXSI 및 Nemesida WAF Free의 작동을 테스트했습니다. 결과에 대해 간략히 설명하면 다음과 같습니다.

• NAXSI는 쿠키에서 이중 URL 디코딩을 수행하지 않습니다.
• NAXSI는 구성하는 데 매우 오랜 시간이 걸립니다. 기본적으로 기본 규칙 설정은 웹 애플리케이션 작업(승인, 프로필 또는 자료 편집, 설문 조사 참여 등) 시 대부분의 요청을 차단하며 예외 목록을 생성해야 합니다. , 이는 보안에 나쁜 영향을 미칩니다. 기본 설정의 Nemesida WAF Free는 사이트 작업 중에 단 한 번의 오탐도 수행하지 않았습니다.
• NAXSI에 대한 공격 실패 횟수는 몇 배 더 높습니다.

단점에도 불구하고 NAXSI와 mod_security에는 오픈 소스와 많은 사용자라는 두 가지 이상의 장점이 있습니다. 우리는 소스 코드 공개에 대한 아이디어를 지지하지만 상용 버전의 "불법 복제" 문제로 인해 아직 이를 수행할 수 없지만 이러한 단점을 보완하기 위해 시그니처 세트의 내용을 완전히 공개하고 있습니다. 우리는 개인정보 보호를 중요하게 생각하며 프록시 서버를 사용하여 이를 직접 확인할 것을 제안합니다.

Nemesida WAF 무료의 특징:

• 최소한의 False Positive 및 False Negative 수를 갖춘 고품질 서명 데이터베이스입니다.
• 저장소에서 설치 및 업데이트(빠르고 편리함)
• NAXSI와 같은 "엉망"이 아닌 사건에 대한 간단하고 이해하기 쉬운 이벤트입니다.
• 완전 무료이며 트래픽 양, 가상 호스트 등에 제한이 없습니다.

결론적으로 WAF의 성능을 평가하기 위해 몇 가지 쿼리를 제공하겠습니다(각 영역(URL, ARGS, 헤더 및 본문)에서 사용하는 것이 좋습니다).

')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"] ')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"] union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"] ')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] ')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"] ')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"] %5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//

요청이 차단되지 않으면 WAF가 실제 공격을 놓칠 가능성이 높습니다. 예제를 사용하기 전에 WAF가 합법적인 요청을 차단하고 있지 않은지 확인하세요.

출처 : habr.com