Anul trecut am lansat Nemesida WAF Free, un modul dinamic pentru NGINX care blochează atacurile asupra aplicațiilor web. Spre deosebire de versiunea comercială, care se bazează pe machine learning, versiunea gratuită analizează cererile doar folosind metoda semnăturii.
Caracteristici ale lansării Nemesida WAF 4.0.129
Înainte de lansarea curentă, modulul dinamic Nemesida WAF accepta doar Nginx Stable 1.12, 1.14 și 1.16. Noua versiune adaugă suport pentru Nginx Mainline, începând cu 1.17, și Nginx Plus, începând cu 1.15.10 (R18).
De ce să faci un alt WAF?
NAXSI și mod_security sunt probabil cele mai populare module WAF gratuite, iar mod_security este promovat activ de Nginx, deși inițial a fost folosit doar în Apache2. Ambele soluții sunt gratuite, open source și au mulți utilizatori din întreaga lume. Pentru mod_security, seturi de semnături gratuite și comerciale sunt disponibile pentru 500 USD pe an, pentru NAXSI există un set gratuit de semnături din cutie și puteți găsi, de asemenea, seturi suplimentare de reguli, cum ar fi doxsi.
Anul acesta am testat funcționarea NAXSI și Nemesida WAF Free. Pe scurt despre rezultate:
- NAXSI nu face decodare dublă URL în cookie-uri
- Configurarea NAXSI durează foarte mult - în mod implicit, setările implicite ale regulilor vor bloca majoritatea solicitărilor atunci când lucrați cu o aplicație web (autorizare, editarea unui profil sau material, participarea la sondaje etc.) și este necesar să se genereze liste de excepții , care are un efect negativ asupra securității. Nemesida WAF Free cu setările implicite nu a efectuat un singur fals pozitiv în timpul lucrului cu site-ul.
- numărul de atacuri ratate pentru NAXSI este de multe ori mai mare etc.
În ciuda deficiențelor, NAXSI și mod_security au cel puțin două avantaje - open source și un număr mare de utilizatori. Susținem ideea dezvăluirii codului sursă, dar nu putem face acest lucru încă din cauza posibilelor probleme cu „pirateria” versiunii comerciale, dar pentru a compensa acest neajuns, dezvăluim pe deplin conținutul setului de semnături. Apreciem confidențialitatea și vă sugerăm să verificați acest lucru dvs. folosind un server proxy.
Caracteristici Nemesida WAF Free:
- bază de date de semnături de înaltă calitate, cu un număr minim de fals pozitiv și fals negativ.
- instalare și actualizare din depozit (este rapid și convenabil);
- evenimente simple și de înțeles despre incidente, și nu o „mizerie” precum NAXSI;
- complet gratuit, nu are restricții privind cantitatea de trafic, gazde virtuale etc.
În concluzie, voi da mai multe interogări pentru a evalua performanța WAF (se recomandă utilizarea acestuia în fiecare dintre zonele: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Dacă cererile nu sunt blocate, atunci cel mai probabil WAF va rata atacul real. Înainte de a folosi exemplele, asigurați-vă că WAF-ul nu blochează cererile legitime.
Sursa: www.habr.com