W zeszłym roku wypuściliśmy Nemesida WAF Free, dynamiczny moduł dla NGINX, który blokuje ataki na aplikacje internetowe. W odróżnieniu od wersji komercyjnej, która opiera się na uczeniu maszynowym, wersja bezpłatna analizuje żądania wyłącznie przy użyciu metody podpisu.
Funkcje wydania Nemesida WAF 4.0.129
Przed obecną wersją moduł dynamiczny Nemesida WAF obsługiwał tylko Nginx Stable 1.12, 1.14 i 1.16. Nowa wersja dodaje obsługę Nginx Mainline, począwszy od 1.17, i Nginx Plus, począwszy od 1.15.10 (R18).
Po co robić kolejny WAF?
NAXSI i mod_security to prawdopodobnie najpopularniejsze darmowe moduły WAF, a mod_security jest aktywnie promowany przez Nginx, chociaż początkowo był używany tylko w Apache2. Obydwa rozwiązania są bezpłatne, open source i mają wielu użytkowników na całym świecie. Dla mod_security darmowe i komercyjne zestawy podpisów są dostępne za 500 dolarów rocznie, dla NAXSI dostępny jest darmowy zestaw podpisów od razu po wyjęciu z pudełka, można też znaleźć dodatkowe zestawy reguł, takie jak doxsi.
W tym roku testowaliśmy działanie NAXSI i Nemesida WAF Free. Krótko o wynikach:
- NAXSI nie dekoduje podwójnego adresu URL w plikach cookie
- Konfiguracja NAXSI zajmuje bardzo dużo czasu - domyślnie domyślne ustawienia reguł będą blokować większość żądań podczas pracy z aplikacją webową (autoryzacja, edycja profilu lub materiału, udział w ankietach itp.) i konieczne jest wygenerowanie list wyjątków , co ma zły wpływ na bezpieczeństwo. Nemesida WAF Free z ustawieniami domyślnymi nie wykonała ani jednego fałszywego alarmu podczas pracy z witryną.
- liczba nieodebranych ataków dla NAXSI jest wielokrotnie wyższa itp.
Pomimo niedociągnięć NAXSI i mod_security mają co najmniej dwie zalety - otwarte oprogramowanie i dużą liczbę użytkowników. Popieramy pomysł ujawnienia kodu źródłowego, jednak na razie nie możemy tego zrobić ze względu na możliwe problemy z „piractwem” wersji komercyjnej, jednak aby zrekompensować to niedociągnięcie, ujawniamy w pełni zawartość zestawu sygnatur. Cenimy prywatność i sugerujemy, abyś sam to zweryfikował za pomocą serwera proxy.
Funkcje Nemesida WAF Free:
- wysokiej jakości baza sygnatur z minimalną liczbą wyników fałszywie pozytywnych i fałszywie negatywnych.
- instalacja i aktualizacja z repozytorium (jest szybka i wygodna);
- proste i zrozumiałe zdarzenia dotyczące incydentów, a nie „bałagan” jak NAXSI;
- całkowicie darmowy, nie ma ograniczeń co do wielkości ruchu, wirtualnych hostów itp.
Podsumowując, podam kilka zapytań, aby ocenić wydajność WAF (zaleca się użycie go w każdej ze stref: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Jeśli żądania nie zostaną zablokowane, najprawdopodobniej WAF przegapi prawdziwy atak. Przed użyciem przykładów upewnij się, że WAF nie blokuje prawidłowych żądań.
Źródło: www.habr.com