ဝဘ်အပလီကေးရှင်းများပေါ်တွင်တိုက်ခိုက်မှုများကိုပိတ်ဆို့သည့် NGINX အတွက် တက်ကြွသော module တစ်ခုဖြစ်သည့် Nemesida WAF Free ကို ပြီးခဲ့သည့်နှစ်က ထုတ်ပြန်ခဲ့သည်။ စက်သင်ယူမှုကိုအခြေခံသည့် စီးပွားဖြစ်ဗားရှင်းနှင့်မတူဘဲ၊ အခမဲ့ဗားရှင်းသည် လက်မှတ်နည်းလမ်းကို အသုံးပြုကာ တောင်းဆိုမှုများကို ခွဲခြမ်းစိတ်ဖြာသည်။
Nemesida WAF 4.0.129 ထွက်ရှိခြင်း၏အင်္ဂါရပ်များ
လက်ရှိထုတ်ဝေမှုမတိုင်မီ၊ Nemesida WAF ဒိုင်နမစ်မော်ဂျူးသည် Nginx Stable 1.12၊ 1.14 နှင့် 1.16 တို့ကိုသာ ပံ့ပိုးပေးထားသည်။ အသစ်ထွက်ရှိမှုတွင် 1.17 မှစတင်သည့် Nginx Mainline အတွက် ပံ့ပိုးမှုနှင့် 1.15.10 (R18) မှစတင်သည့် Nginx Plus တို့ကို ထည့်သွင်းထားသည်။
နောက်ထပ် WAF ကို ဘာကြောင့် လုပ်တာလဲ။
NAXSI နှင့် mod_security တို့သည် လူကြိုက်အများဆုံး အခမဲ့ WAF မော်ဂျူးများ ဖြစ်ကောင်းဖြစ်နိုင်သည်၊ ၎င်းသည် ကနဦးတွင် Apache2 တွင်သာ အသုံးပြုခဲ့သော်လည်း Nginx မှ mod_security ကို တက်ကြွစွာ မြှင့်တင်ထားသည်။ ဖြေရှင်းချက်နှစ်ခုလုံးသည် အခမဲ့ဖြစ်ပြီး open source ဖြစ်ပြီး ကမ္ဘာတစ်ဝှမ်းရှိ သုံးစွဲသူများစွာရှိသည်။ mod_security အတွက်၊ အခမဲ့နှင့် စီးပွားဖြစ် လက်မှတ်အစုံများကို တစ်နှစ်လျှင် $500 ဖြင့် ရနိုင်သည်၊ NAXSI အတွက် အခမဲ့ လက်မှတ်အစုံ ပါရှိပြီး doxsi ကဲ့သို့သော နောက်ထပ် စည်းမျဥ်းများကိုလည်း သင် ရှာတွေ့နိုင်ပါသည်။
ယခုနှစ်တွင် ကျွန်ုပ်တို့သည် NAXSI နှင့် Nemesida WAF Free လုပ်ဆောင်ချက်ကို စမ်းသပ်ခဲ့သည်။ ရလဒ်များအကြောင်း အတိုချုပ်
- NAXSI သည် cookies များတွင် URL နှစ်ထပ်ကုဒ်ကိုမလုပ်ဆောင်ပါ။
- NAXSI ကို configure လုပ်ရန် အချိန်အတော်ကြာယူရသည် - ပုံမှန်အားဖြင့်၊ ဝဘ်အပလီကေးရှင်းတစ်ခု (ခွင့်ပြုချက်၊ ပရိုဖိုင် သို့မဟုတ် ပစ္စည်းကို တည်းဖြတ်ခြင်း၊ စစ်တမ်းများတွင် ပါဝင်ခြင်းစသည်ဖြင့်) နှင့် လုပ်ဆောင်သည့်အခါ တောင်းဆိုချက်အများစုကို မူရင်းစည်းမျဉ်းဆက်တင်များက ပိတ်ဆို့ထားမည်ဖြစ်ပြီး ခြွင်းချက်စာရင်းများကို ထုတ်ပေးရန် လိုအပ်ပါသည်။ လုံခြုံရေးကို ဆိုးရွားစွာ ထိခိုက်စေသော၊ မူရင်းဆက်တင်များဖြင့် Nemesida WAF Free သည် ဝဘ်ဆိုက်နှင့်အလုပ်လုပ်စဉ်တွင် မှားယွင်းသောအပြုသဘောတစ်ခုမျှ မလုပ်ဆောင်ခဲ့ပါ။
- NAXSI အတွက် လွတ်သွားသော တိုက်ခိုက်မှု အရေအတွက်သည် အဆများစွာ ပိုများသည်။
ချို့ယွင်းချက်များရှိနေသော်လည်း၊ NAXSI နှင့် mod_security တွင် အနည်းဆုံး အားသာချက်နှစ်ခုရှိသည် - open source နှင့် အသုံးပြုသူအများအပြားရှိသည်။ အရင်းအမြစ်ကုဒ်ကို ထုတ်ဖော်ရန် စိတ်ကူးကို ကျွန်ုပ်တို့ ထောက်ခံပါသည်၊ သို့သော် စီးပွားဖြစ်ဗားရှင်း၏ "ခိုးကူးမှု" နှင့် ဖြစ်နိုင်ခြေရှိသော ပြဿနာများကြောင့် ၎င်းကို ကျွန်ုပ်တို့ မလုပ်ဆောင်နိုင်သေးဘဲ၊ ဤချို့ယွင်းချက်အတွက် လျော်ကြေးပေးရန်၊ ကျွန်ုပ်တို့သည် လက်မှတ်အစုံ၏ အကြောင်းအရာများကို အပြည့်အဝ ထုတ်ဖော်နေပါသည်။ ကျွန်ုပ်တို့သည် ကိုယ်ရေးကိုယ်တာအား တန်ဖိုးထားကာ ပရောက်စီဆာဗာကို အသုံးပြု၍ ၎င်းကို သင်ကိုယ်တိုင် အတည်ပြုရန် အကြံပြုအပ်ပါသည်။
Nemesida WAF Free ၏အင်္ဂါရပ်များ
- False Positive နှင့် False Negative အနည်းဆုံးအရေအတွက်ပါရှိသော အရည်အသွေးမြင့် လက်မှတ်ဒေတာဘေ့စ်။
- သိုလှောင်မှုမှ တပ်ဆင်ခြင်းနှင့် အပ်ဒိတ်လုပ်ခြင်း (၎င်းသည် မြန်ဆန်ပြီး အဆင်ပြေသည်);
- NAXSI ကဲ့သို့ "အရှုပ်အထွေး" မဟုတ်ဘဲ အဖြစ်အပျက်များအကြောင်း ရိုးရှင်းပြီး နားလည်နိုင်သော အဖြစ်အပျက်များ။
- လုံးဝအခမဲ့၊ အသွားအလာပမာဏ၊ virtual hosts စသည်တို့အတွက်ကန့်သတ်ချက်များမရှိပါ။
နိဂုံးချုပ်အားဖြင့်၊ WAF ၏ စွမ်းဆောင်ရည်ကို အကဲဖြတ်ရန် မေးခွန်းများစွာကို ကျွန်ုပ်ပေးမည် (ဇုန်တစ်ခုစီတွင် ၎င်းကို အသုံးပြုရန် အကြံပြုထားသည်- URL၊ ARGS၊ ခေါင်းစီးနှင့် ကိုယ်ထည်)။
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
တောင်းဆိုချက်များကို ပိတ်ဆို့မထားပါက၊ WAF သည် စစ်မှန်သော တိုက်ခိုက်မှုကို လက်လွတ်သွားလိမ့်မည်ဖြစ်သည်။ ဥပမာများကို အသုံးမပြုမီ၊ WAF သည် တရားဝင်တောင်းဆိုမှုများကို ပိတ်ဆို့ခြင်းမပြုကြောင်း သေချာပါစေ။
source: www.habr.com