Өткөн жылы биз Nemesida WAF Free чыгардык, бул NGINX динамикалык модулу, ал веб-тиркемелерге чабуулдарды бөгөттөйт. Машина үйрөнүүгө негизделген коммерциялык версиядан айырмаланып, акысыз версия кол коюу ыкмасын колдонуу менен гана сурамдарды талдайт.
Nemesida WAF 4.0.129 чыгаруу өзгөчөлүктөрү
Учурдагы релизге чейин Nemesida WAF динамикалык модулу Nginx Stable 1.12, 1.14 жана 1.16 гана колдогон. Жаңы релиз 1.17ден баштап Nginx Mainline жана 1.15.10 (R18) баштап Nginx Plus үчүн колдоону кошот.
Эмне үчүн дагы бир WAF түзүү керек?
NAXSI жана mod_security, балким, эң популярдуу бекер WAF модулдары жана mod_security Nginx тарабынан жигердүү өбөлгө түзөт, бирок башында ал Apache2де гана колдонулган. Эки чечим тең акысыз, ачык булак жана дүйнө жүзү боюнча көптөгөн колдонуучуларга ээ. mod_security үчүн акысыз жана коммерциялык кол топтомдор жылына $500 үчүн жеткиликтүү, NAXSI үчүн кутудан чыккан колдордун акысыз топтому бар, ошондой эле doxsi сыяктуу эрежелердин кошумча топтомун таба аласыз.
Бул жылы биз NAXSI жана Nemesida WAF Free иштешин сынап көрдүк. Жыйынтыктар тууралуу кыскача:
- NAXSI кукилерде кош URL декоддорун жасабайт
- NAXSI конфигурациялоо үчүн өтө көп убакыт талап кылынат - демейки боюнча, демейки эреже жөндөөлөрү веб-тиркеме менен иштөөдө көпчүлүк суроо-талаптарды бөгөттөйт (авторизация, профилди же материалды түзөтүү, сурамжылоого катышуу ж.б.) жана өзгөчө тизмелерди түзүү керек. , бул коопсуздукка жаман таасирин тийгизет. Nemesida WAF Free демейки жөндөөлөрү менен сайт менен иштөөдө бир дагы жалган позитивдүү аткарган жок.
- NAXSI үчүн өткөрүп жиберилген чабуулдардын саны бир нече эсе көп, ж.б.
Кемчиликтерге карабастан, NAXSI жана mod_security кеминде эки артыкчылыкка ээ - ачык булак жана көп сандагы колдонуучулар. Биз баштапкы кодду ачуу идеясын колдойбуз, бирок коммерциялык версиянын "каракчылыгы" менен мүмкүн болгон көйгөйлөрдөн улам биз муну жасай албайбыз, бирок бул кемчиликтин ордун толтуруу үчүн кол топтомунун мазмунун толугу менен ачып жатабыз. Биз купуялуулукту баалайбыз жана прокси сервер аркылуу муну өзүңүз текшерүүнү сунуштайбыз.
Nemesida WAF Free өзгөчөлүктөрү:
- Жалган оң жана жалган терс минималдуу саны менен жогорку сапаттагы кол базасы.
- репозиторийден орнотуу жана жаңыртуу (бул тез жана ыңгайлуу);
- окуялар жөнүндө жөнөкөй жана түшүнүктүү окуялар, жана NAXSI сыяктуу "башаламандык" эмес;
- толугу менен акысыз, трафиктин көлөмүнө эч кандай чектөөлөр жок, виртуалдык хосттор ж.б.
Жыйынтыктап айтканда, мен WAFтин иштешин баалоо үчүн бир нече суроо берем (аны ар бир зонада колдонуу сунушталат: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Эгерде өтүнүчтөр бөгөттөлбөсө, анда WAF чыныгы чабуулду өткөрүп жибериши мүмкүн. Мисалдарды колдонуудан мурун, WAF мыйзамдуу суроо-талаптарды бөгөттөп жатпаганын текшериңиз.
Source: www.habr.com