تیر کال موږ د Nemesida WAF Free خپور کړ، د NGINX لپاره یو متحرک ماډل چې په ویب غوښتنلیکونو بریدونه بندوي. د سوداګریزې نسخې برعکس، کوم چې د ماشین زده کړې پر بنسټ والړ دی، وړیا نسخه یوازې د لاسلیک میتود په کارولو سره غوښتنې تحلیلوي.
د Nemesida WAF 4.0.129 خوشې کولو ځانګړتیاوې
د اوسني خوشې کیدو دمخه ، د نیمیسیډا WAF متحرک ماډل یوازې د نګینکس سټیبل 1.12 ، 1.14 او 1.16 ملاتړ کاوه. نوې خپرونه د نګینکس مین لاین لپاره ملاتړ اضافه کوي ، له 1.17 څخه پیل کیږي ، او نګینکس پلس ، له 1.15.10 (R18) څخه پیل کیږي.
ولې بل WAF جوړ کړئ؟
NAXSI او mod_security شاید ترټولو مشهور وړیا WAF ماډلونه دي، او mod_security په فعاله توګه د نینګکس لخوا هڅول کیږي، که څه هم په پیل کې دا یوازې په اپاچی2 کې کارول کیده. دواړه حلونه وړیا، خلاصې سرچینې دي او په ټوله نړۍ کې ډیری کاروونکي لري. د mod_security لپاره، وړیا او سوداګریز لاسلیک سیټونه په کال کې $ 500 لپاره شتون لري، د NAXSI لپاره د بکس څخه بهر د لاسلیکونو وړیا سیټ شتون لري، او تاسو کولی شئ د مقرراتو اضافي سیټونه هم ومومئ، لکه doxsi.
سږکال موږ د NAXSI او Nemesida WAF وړیا عملیات ازموینه وکړه. په لنډه توګه د پایلو په اړه:
- NAXSI په کوکیز کې دوه ځله URL ډیکوډ نه کوي
- NAXSI د تنظیم کولو لپاره خورا اوږد وخت نیسي - په ډیفالټ ، د ډیفالټ مقرراتو ترتیبات به ډیری غوښتنې بندې کړي کله چې د ویب غوښتنلیک سره کار کوي (اجازت ورکول ، د پروفایل یا موادو ترمیم کول ، په سروې کې برخه اخیستل او داسې نور) او دا اړینه ده چې د استثنایی لیستونو رامینځته کړئ. ، چې په امنیت ناوړه اغیزه لري. Nemesida WAF وړیا د ډیفالټ ترتیباتو سره د سایټ سره کار کولو پرمهال یو غلط مثبت کار ندی ترسره کړی.
- د NAXSI لپاره د یاد شوي بریدونو شمیر څو چنده لوړ دی، وغيره.
د نیمګړتیاوو سره سره، NAXSI او mod_security لږترلږه دوه ګټې لري - خلاص سرچینه او د کاروونکو لوی شمیر. موږ د سرچینې کوډ د افشا کولو مفکورې ملاتړ کوو، مګر موږ دا د سوداګریزې نسخې "بحراني" سره د ممکنه ستونزو له امله نشو کولی، مګر د دې نیمګړتیا د جبرانولو لپاره، موږ د لاسلیک سیټ مینځپانګې په بشپړه توګه افشا کوو. موږ محرمیت ته ارزښت ورکوو او وړاندیز کوو چې تاسو دا پخپله د پراکسي سرور په کارولو سره تایید کړئ.
د نیمیسیډا WAF وړیا ځانګړتیاوې:
- د لوړ کیفیت لاسلیک ډیټابیس د لږترلږه غلط مثبت او غلط منفي شمیر سره.
- د ذخیره کولو څخه نصب او تازه کول (دا ګړندی او مناسب دی)؛
- د پیښو په اړه ساده او د پوهیدو وړ پیښې، او د NAXSI په څیر "خراب" نه؛
- په بشپړه توګه وړیا، د ټرافیک مقدار، مجازی کوربه، او نور هیڅ محدودیت نلري.
په پایله کې، زه به د WAF د فعالیت ارزولو لپاره څو پوښتنې وړاندې کړم (دا سپارښتنه کیږي چې دا په هر زون کې وکاروئ: URL، ARGS، سرلیکونه او بدن):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
که غوښتنې بندې نه شي ، نو ډیری احتمال به WAF ریښتیني برید له لاسه ورکړي. د مثالونو کارولو دمخه، ډاډ ترلاسه کړئ چې WAF مشروع غوښتنې نه بندوي.
سرچینه: www.habr.com