Praėjusiais metais išleidome Nemesida WAF Free – dinaminį NGINX modulį, kuris blokuoja žiniatinklio programų atakas. Skirtingai nuo komercinės versijos, kuri yra pagrįsta mašininiu mokymusi, nemokama versija analizuoja užklausas tik naudojant parašo metodą.
Nemesida WAF 4.0.129 išleidimo ypatybės
Iki dabartinės leidimo Nemesida WAF dinaminis modulis palaikė tik Nginx Stable 1.12, 1.14 ir 1.16. Naujasis leidimas prideda palaikymą „Nginx Mainline“, pradedant nuo 1.17, ir „Nginx Plus“, pradedant nuo 1.15.10 (R18).
Kam daryti kitą WAF?
NAXSI ir mod_security yra bene populiariausi nemokami WAF moduliai, o mod_security aktyviai reklamuoja Nginx, nors iš pradžių jis buvo naudojamas tik Apache2. Abu sprendimai yra nemokami, atvirojo kodo ir turi daug vartotojų visame pasaulyje. Naudojant mod_security, nemokami ir komerciniai parašų rinkiniai yra prieinami už 500 USD per metus, NAXSI yra nemokamas parašų rinkinys, taip pat galite rasti papildomų taisyklių rinkinių, pvz., „doxsi“.
Šiais metais išbandėme NAXSI ir Nemesida WAF Free veikimą. Trumpai apie rezultatus:
- NAXSI neatlieka dvigubo URL iškodavimo slapukuose
- NAXSI konfigūravimas užtrunka labai ilgai – pagal numatytuosius nustatymus numatytieji taisyklių nustatymai blokuos daugumą užklausų dirbant su žiniatinklio programa (autorizacija, profilio ar medžiagos redagavimas, dalyvavimas apklausose ir pan.) ir būtina generuoti išimčių sąrašus. , o tai neigiamai veikia saugumą. Nemesida WAF Free su numatytaisiais nustatymais neatliko nė vieno klaidingo teigiamo pranešimo, kai dirbama su svetaine.
- praleistų atakų skaičius NAXSI yra daug kartų didesnis ir kt.
Nepaisant trūkumų, NAXSI ir mod_security turi bent du privalumus – atvirą kodą ir didelį vartotojų skaičių. Mes palaikome idėją atskleisti šaltinio kodą, tačiau kol kas negalime to padaryti dėl galimų komercinės versijos „piratavimo“ problemų, tačiau norėdami kompensuoti šį trūkumą, visiškai atskleidžiame parašo rinkinio turinį. Vertiname privatumą ir siūlome tai patikrinti patiems naudojant tarpinį serverį.
Nemesida WAF Free savybės:
- aukštos kokybės parašų duomenų bazė su minimaliu klaidingų teigiamų ir klaidingų neigiamų skaičiumi.
- diegimas ir atnaujinimas iš saugyklos (tai greita ir patogu);
- paprasti ir suprantami įvykiai apie incidentus, o ne tokia „netvarka“, kaip NAXSI;
- visiškai nemokama, neturi jokių apribojimų srauto kiekiui, virtualiems hostams ir pan.
Baigdamas pateiksiu keletą užklausų WAF našumui įvertinti (rekomenduojama jį naudoti kiekvienoje iš zonų: URL, ARGS, antraštės ir tekstas):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Jei užklausos nebus užblokuotos, greičiausiai WAF praleis tikrą ataką. Prieš naudodami pavyzdžius įsitikinkite, kad WAF neblokuoja teisėtų užklausų.
Šaltinis: www.habr.com