Tahun lepas kami mengeluarkan Nemesida WAF Free, modul dinamik untuk NGINX yang menyekat serangan pada aplikasi web. Tidak seperti versi komersial, yang berdasarkan pembelajaran mesin, versi percuma menganalisis permintaan hanya menggunakan kaedah tandatangan.
Ciri-ciri keluaran Nemesida WAF 4.0.129
Sebelum keluaran semasa, modul dinamik Nemesida WAF hanya menyokong Nginx Stable 1.12, 1.14 dan 1.16. Keluaran baharu menambah sokongan untuk Talian Utama Nginx, bermula dari 1.17, dan Nginx Plus, bermula dari 1.15.10 (R18).
Kenapa buat WAF lagi?
NAXSI dan mod_security mungkin merupakan modul WAF percuma yang paling popular, dan mod_security dipromosikan secara aktif oleh Nginx, walaupun pada mulanya ia hanya digunakan dalam Apache2. Kedua-dua penyelesaian adalah percuma, sumber terbuka dan mempunyai ramai pengguna di seluruh dunia. Untuk mod_security, set tandatangan percuma dan komersial tersedia dengan harga $500 setahun, untuk NAXSI terdapat set tandatangan percuma di luar kotak, dan anda juga boleh mencari set peraturan tambahan, seperti doxsi.
Tahun ini kami menguji operasi NAXSI dan Nemesida WAF Free. Secara ringkas mengenai keputusan:
- NAXSI tidak melakukan penyahkod URL berganda dalam kuki
- NAXSI mengambil masa yang sangat lama untuk mengkonfigurasi - secara lalai, tetapan peraturan lalai akan menyekat kebanyakan permintaan apabila bekerja dengan aplikasi web (kebenaran, mengedit profil atau bahan, mengambil bahagian dalam tinjauan, dsb.) dan perlu menjana senarai pengecualian , yang mempunyai kesan buruk terhadap keselamatan. Nemesida WAF Free dengan tetapan lalai tidak melakukan satu pun positif palsu semasa bekerja dengan tapak.
- bilangan serangan terlepas untuk NAXSI adalah berkali ganda lebih tinggi, dsb.
Walaupun terdapat kekurangan, NAXSI dan mod_security mempunyai sekurang-kurangnya dua kelebihan - sumber terbuka dan sejumlah besar pengguna. Kami menyokong idea untuk mendedahkan kod sumber, tetapi kami tidak dapat melakukan ini kerana kemungkinan masalah dengan "cetak rompak" versi komersial, tetapi untuk mengimbangi kekurangan ini, kami mendedahkan sepenuhnya kandungan set tandatangan. Kami menghargai privasi dan mencadangkan anda mengesahkan ini sendiri menggunakan pelayan proksi.
Ciri-ciri Nemesida WAF Free:
- pangkalan data tandatangan berkualiti tinggi dengan bilangan minimum Positif Palsu dan Negatif Palsu.
- pemasangan dan kemas kini dari repositori (ia pantas dan mudah);
- peristiwa yang mudah dan boleh difahami tentang insiden, dan bukan "kekacauan" seperti NAXSI;
- percuma sepenuhnya, tidak mempunyai sekatan pada jumlah trafik, hos maya, dsb.
Sebagai kesimpulan, saya akan memberikan beberapa pertanyaan untuk menilai prestasi WAF (disyorkan untuk menggunakannya dalam setiap zon: URL, ARGS, Pengepala & Badan):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Jika permintaan tidak disekat, kemungkinan besar WAF akan terlepas serangan sebenar. Sebelum menggunakan contoh, pastikan WAF tidak menyekat permintaan yang sah.
Sumber: www.habr.com