گذريل سال اسان جاري ڪيو Nemesida WAF Free، NGINX لاءِ هڪ متحرڪ ماڊل جيڪو ويب ايپليڪيشنن تي حملن کي روڪي ٿو. تجارتي ورزن جي برعڪس، جيڪو مشين لرننگ تي ٻڌل آهي، مفت ورزن صرف دستخطي طريقي سان درخواستن جو تجزيو ڪري ٿو.
Nemesida WAF 4.0.129 جي رليز جون خاصيتون
موجوده رليز کان اڳ، Nemesida WAF متحرڪ ماڊل صرف Nginx Stable 1.12، 1.14 ۽ 1.16 جي حمايت ڪئي. نئين رليز 1.17 کان شروع ٿيندڙ نينگڪس مين لائن، ۽ نينڪس پلس، 1.15.10 (R18) کان شروع ٿيندڙ سپورٽ شامل ڪري ٿي.
ٻيو WAF ڇو ٺاهيو؟
NAXSI ۽ mod_security شايد سڀ کان وڌيڪ مشهور مفت WAF ماڊل آهن، ۽ mod_security فعال طور تي Nginx پاران ترقي ڪئي وئي آهي، جيتوڻيڪ شروعات ۾ اهو صرف Apache2 ۾ استعمال ڪيو ويو. ٻئي حل مفت، کليل ذريعو آهن ۽ دنيا جي ڪيترن ئي صارفن جا آهن. mod_security لاءِ، مفت ۽ تجارتي دستخط سيٽ $500 في سال لاءِ دستياب آهن، NAXSI لاءِ اتي موجود دستخطن جو هڪ مفت سيٽ آهي دٻي کان ٻاهر، ۽ توهان قاعدن جا اضافي سيٽ پڻ ڳولي سگهو ٿا، جهڙوڪ doxsi.
هن سال اسان آزمائش ڪئي NAXSI ۽ Nemesida WAF مفت جي آپريشن. نتيجن جي باري ۾ مختصر طور:
- NAXSI ڪوڪيز ۾ ڊبل URL ڊيڪوڊ نٿو ڪري
- NAXSI ترتيب ڏيڻ ۾ تمام گهڻو وقت وٺندو آهي - ڊفالٽ طور، ڊفالٽ قاعدي سيٽنگون اڪثر درخواستن کي بلاڪ ڪنديون جڏهن ويب ايپليڪيشن سان ڪم ڪندي (اجازت ڏيڻ، پروفائل يا مواد کي ايڊٽ ڪرڻ، سروي ۾ حصو وٺڻ، وغيره) ۽ اهو ضروري آهي ته استثناء جي فهرست ٺاهي. جنهن جو سيڪيورٽي تي خراب اثر پوي ٿو. Nemesida WAF مفت ڊفالٽ سيٽنگن سان سائيٽ سان ڪم ڪرڻ دوران هڪ به غلط مثبت ڪم نه ڪيو.
- NAXSI لاءِ مس ٿيل حملن جو تعداد ڪيترائي ڀيرا وڌيڪ آهي، وغيره.
نقصن جي باوجود، NAXSI ۽ mod_security ۾ گهٽ ۾ گهٽ ٻه فائدا آهن - کليل ذريعو ۽ صارفين جو وڏو تعداد. اسان سورس ڪوڊ کي ظاهر ڪرڻ جي خيال جي حمايت ڪريون ٿا، پر اسان اڃا تائين اهو نه ٿا ڪري سگھون ممڪن مسئلن جي ڪري تجارتي ورزن جي "پائريسي" سان، پر ان گهٽتائي کي پورو ڪرڻ لاءِ، اسان دستخط سيٽ جي مواد کي مڪمل طور تي ظاهر ڪري رهيا آهيون. اسان رازداري کي اهميت ڏيون ٿا ۽ مشورو ڏيون ٿا ته توهان پاڻ ان جي تصديق ڪريو هڪ پراڪسي سرور استعمال ڪندي.
Nemesida WAF مفت جون خاصيتون:
- گھٽ ۾ گھٽ تعداد ۾ غلط مثبت ۽ غلط ناڪاري سان اعلي معيار جي دستخط ڊيٽابيس.
- مخزن مان تنصيب ۽ تازه ڪاري (اهو تيز ۽ آسان آهي)؛
- واقعن بابت سادي ۽ سمجھڻ وارا واقعا، ۽ NAXSI وانگر "گندا" نه؛
- مڪمل طور تي مفت، ٽرئفڪ جي مقدار تي ڪابه پابنديون ناهي، مجازي ميزبان، وغيره.
آخر ۾، مان WAF جي ڪارڪردگي جو جائزو وٺڻ لاءِ ڪيترائي سوال ڏيندس (انهي کي هر هڪ زون ۾ استعمال ڪرڻ جي سفارش ڪئي وئي آهي: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
جيڪڏهن درخواستون بلاڪ نه ڪيون ويون آهن، ته گهڻو ڪري WAF حقيقي حملي کي وڃائي ڇڏيندو. مثالن کي استعمال ڪرڻ کان اڳ، پڪ ڪريو ته WAF جائز درخواستن کي بلاڪ نه ڪري رهيو آهي.
جو ذريعو: www.habr.com