Pagājušajā gadā mēs izlaidām Nemesida WAF Free — dinamisku moduli NGINX, kas bloķē uzbrukumus tīmekļa lietojumprogrammām. Atšķirībā no komerciālās versijas, kuras pamatā ir mašīnmācīšanās, bezmaksas versija analizē pieprasījumus, tikai izmantojot paraksta metodi.
Nemesida WAF 4.0.129 izlaišanas iezīmes
Pirms pašreizējās izlaišanas Nemesida WAF dinamiskais modulis atbalstīja tikai Nginx Stable 1.12, 1.14 un 1.16. Jaunajā laidienā ir pievienots atbalsts Nginx Mainline, sākot no 1.17, un Nginx Plus, sākot no 1.15.10 (R18).
Kāpēc taisīt vēl vienu WAF?
NAXSI un mod_security, iespējams, ir vispopulārākie bezmaksas WAF moduļi, un mod_security aktīvi reklamē Nginx, lai gan sākotnēji tas tika izmantots tikai Apache2. Abi risinājumi ir bezmaksas, atvērtā koda, un tiem ir daudz lietotāju visā pasaulē. Attiecībā uz mod_security bezmaksas un komerciālie parakstu komplekti ir pieejami par USD 500 gadā, NAXSI ir pieejams bezmaksas parakstu komplekts, un jūs varat arī atrast papildu noteikumu kopas, piemēram, doxsi.
Šogad pārbaudījām NAXSI un Nemesida WAF Free darbību. Īsi par rezultātiem:
- NAXSI neveic dubultā URL atkodēšanu sīkfailos
- NAXSI konfigurēšana aizņem ļoti ilgu laiku - pēc noklusējuma noklusējuma kārtulas iestatījumi bloķēs lielāko daļu pieprasījumu, strādājot ar tīmekļa lietojumprogrammu (autorizācija, profila vai materiāla rediģēšana, piedalīšanās aptaujās utt.) un ir nepieciešams ģenerēt izņēmumu sarakstus. , kas slikti ietekmē drošību. Nemesida WAF Free ar noklusējuma iestatījumiem, strādājot ar vietni, nesniedza nevienu viltus pozitīvu rezultātu.
- izlaisto uzbrukumu skaits priekš NAXSI ir daudzkārt lielāks utt.
Neskatoties uz trūkumiem, NAXSI un mod_security ir vismaz divas priekšrocības – atvērtais avots un liels lietotāju skaits. Mēs atbalstām ideju par pirmkoda izpaušanu, taču pagaidām to nevaram izdarīt iespējamo komerciālās versijas “pirātisma” problēmu dēļ, taču, lai kompensētu šo trūkumu, pilnībā atklājam parakstu komplekta saturu. Mēs augstu vērtējam privātumu un iesakām to pārbaudīt pašam, izmantojot starpniekserveri.
Nemesida WAF Free funkcijas:
- augstas kvalitātes parakstu datu bāze ar minimālu viltus pozitīvo un viltus negatīvo skaitu.
- instalēšana un atjaunināšana no repozitorija (tas ir ātri un ērti);
- vienkārši un saprotami notikumi par incidentiem, nevis tāds “bardaks” kā NAXSI;
- pilnīgi bez maksas, nav ierobežojumu trafika apjomam, virtuālajiem saimniekiem utt.
Noslēgumā es sniegšu vairākus vaicājumus, lai novērtētu WAF veiktspēju (ieteicams to izmantot katrā no zonām: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ja pieprasījumi netiks bloķēti, visticamāk, WAF palaidīs garām īsto uzbrukumu. Pirms piemēru izmantošanas pārliecinieties, vai WAF nebloķē likumīgus pieprasījumus.
Avots: www.habr.com