Vorig jaar hebben we Nemesida WAF Free uitgebracht, een dynamische module voor NGINX die aanvallen op webapplicaties blokkeert. In tegenstelling tot de commerciële versie, die gebaseerd is op machine learning, analyseert de gratis versie verzoeken alleen met behulp van de handtekeningmethode.
Kenmerken van de release van Nemesida WAF 4.0.129
Vóór de huidige release ondersteunde de Nemesida WAF dynamische module alleen Nginx Stable 1.12, 1.14 en 1.16. De nieuwe release voegt ondersteuning toe voor Nginx Mainline, vanaf 1.17, en Nginx Plus, vanaf 1.15.10 (R18).
Waarom nog een WAF maken?
NAXSI en mod_security zijn waarschijnlijk de meest populaire gratis WAF-modules, en mod_security wordt actief gepromoot door Nginx, hoewel het aanvankelijk alleen in Apache2 werd gebruikt. Beide oplossingen zijn gratis, open source en hebben veel gebruikers over de hele wereld. Voor mod_security zijn gratis en commerciële handtekeningsets beschikbaar voor $ 500 per jaar, voor NAXSI is er een gratis set handtekeningen kant-en-klaar, en je kunt ook aanvullende sets met regels vinden, zoals doxsi.
Dit jaar hebben we de werking van NAXSI en Nemesida WAF Free getest. Kort over de resultaten:
- NAXSI voert geen dubbele URL-decodering uit in cookies
- Het duurt erg lang om NAXSI te configureren - standaard blokkeren de standaardregelinstellingen de meeste verzoeken bij het werken met een webapplicatie (autorisatie, het bewerken van een profiel of materiaal, deelname aan enquêtes, enz.) en het is noodzakelijk om uitzonderingslijsten te genereren , wat een slecht effect heeft op de veiligheid. Nemesida WAF Free met standaardinstellingen heeft geen enkel vals-positief resultaat opgeleverd tijdens het werken met de site.
- het aantal gemiste aanvallen voor NAXSI is vele malen hoger, etc.
Ondanks de tekortkomingen hebben NAXSI en mod_security minstens twee voordelen: open source en een groot aantal gebruikers. We ondersteunen het idee om de broncode vrij te geven, maar we kunnen dit nog niet doen vanwege mogelijke problemen met “piraterij” van de commerciële versie, maar om deze tekortkoming te compenseren, maken we de inhoud van de handtekeningset volledig openbaar. Wij hechten waarde aan privacy en raden u aan dit zelf te verifiëren met behulp van een proxyserver.
Kenmerken van Nemesida WAF Gratis:
- hoogwaardige handtekeningendatabase met een minimum aantal fout-positieve en fout-negatieve handtekeningen.
- installatie en update vanuit de repository (het is snel en gemakkelijk);
- eenvoudige en begrijpelijke gebeurtenissen over incidenten, en geen “puinhoop” zoals NAXSI;
- volledig gratis, heeft geen beperkingen op de hoeveelheid verkeer, virtuele hosts, enz.
Concluderend zal ik verschillende vragen stellen om de prestaties van WAF te evalueren (het wordt aanbevolen om het in elk van de zones te gebruiken: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Als de verzoeken niet worden geblokkeerd, zal de WAF hoogstwaarschijnlijk de echte aanval missen. Voordat u de voorbeelden gebruikt, moet u ervoor zorgen dat de WAF geen legitieme verzoeken blokkeert.
Bron: www.habr.com