I fjor ga vi ut Nemesida WAF Free, en dynamisk modul for NGINX som blokkerer angrep på nettapplikasjoner. I motsetning til den kommersielle versjonen, som er basert på maskinlæring, analyserer gratisversjonen forespørsler kun ved å bruke signaturmetoden.
Funksjoner ved utgivelsen av Nemesida WAF 4.0.129
Før den nåværende utgivelsen støttet Nemesida WAF dynamisk modul kun Nginx Stable 1.12, 1.14 og 1.16. Den nye utgivelsen legger til støtte for Nginx Mainline, fra 1.17, og Nginx Plus, fra 1.15.10 (R18).
Hvorfor lage en annen WAF?
NAXSI og mod_security er sannsynligvis de mest populære gratis WAF-modulene, og mod_security promoteres aktivt av Nginx, selv om det i utgangspunktet bare ble brukt i Apache2. Begge løsningene er gratis, åpen kildekode og har mange brukere over hele verden. For mod_security er gratis og kommersielle signatursett tilgjengelig for $500 per år, for NAXSI er det et gratis sett med signaturer ut av esken, og du kan også finne flere sett med regler, for eksempel doxsi.
I år testet vi driften av NAXSI og Nemesida WAF Free. Kort om resultatene:
- NAXSI foretar ikke dobbel URL-dekoding i informasjonskapsler
- NAXSI tar veldig lang tid å konfigurere - som standard vil standardregelinnstillingene blokkere de fleste forespørsler når du arbeider med en nettapplikasjon (autorisasjon, redigering av profil eller materiale, deltakelse i undersøkelser osv.) og det er nødvendig å generere unntakslister , som har en dårlig effekt på sikkerheten. Nemesida WAF Free med standardinnstillinger utførte ikke en eneste falsk positiv mens du jobbet med nettstedet.
- antall tapte angrep for NAXSI er mange ganger høyere osv.
Til tross for manglene har NAXSI og mod_security minst to fordeler - åpen kildekode og et stort antall brukere. Vi støtter ideen om å avsløre kildekoden, men vi kan ikke gjøre dette ennå på grunn av mulige problemer med "piratkopiering" av den kommersielle versjonen, men for å kompensere for denne mangelen avslører vi innholdet i signatursettet. Vi verdsetter personvern og foreslår at du bekrefter dette selv ved hjelp av en proxy-server.
Funksjoner av Nemesida WAF Free:
- signaturdatabase av høy kvalitet med et minimum antall falske positive og falske negative.
- installasjon og oppdatering fra depotet (det er raskt og praktisk);
- enkle og forståelige hendelser om hendelser, og ikke et "rot" som NAXSI;
- helt gratis, har ingen begrensninger på mengden trafikk, virtuelle verter, etc.
Avslutningsvis vil jeg gi flere spørsmål for å evaluere ytelsen til WAF (det anbefales å bruke det i hver av sonene: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Hvis forespørslene ikke blokkeres, vil WAF mest sannsynlig gå glipp av det virkelige angrepet. Før du bruker eksemplene, sørg for at WAF ikke blokkerer legitime forespørsler.
Kilde: www.habr.com