පසුගිය වසරේ අපි Nemesida WAF Free, NGINX සඳහා ගතික මොඩියුලයක් නිකුත් කළ අතර එය වෙබ් යෙදුම් වලට පහර දීම අවහිර කරයි. යන්ත්ර ඉගෙනීම මත පදනම් වූ වාණිජ අනුවාදය මෙන් නොව, නිදහස් අනුවාදය ඉල්ලීම් විශ්ලේෂණය කරන්නේ අත්සන් ක්රමය භාවිතා කර පමණි.
Nemesida WAF 4.0.129 නිකුත් කිරීමේ විශේෂාංග
වත්මන් නිකුතුවට පෙර, Nemesida WAF ගතික මොඩියුලය Nginx ස්ථාවර 1.12, 1.14 සහ 1.16 සඳහා පමණක් සහය විය. නව නිකුතුව 1.17 සිට Nginx Mainline සඳහා සහ 1.15.10 (R18) සිට Nginx Plus සඳහා සහය එක් කරයි.
තවත් WAF එකක් හදන්නේ ඇයි?
NAXSI සහ mod_security බොහෝ විට වඩාත්ම ජනප්රිය නිදහස් WAF මොඩියුලයන් වන අතර, mod_security Nginx විසින් සක්රීයව ප්රවර්ධනය කරනු ලැබේ, නමුත් මුලින් එය Apache2 හි පමණක් භාවිතා කරන ලදී. විසඳුම් දෙකම නොමිලේ, විවෘත මූලාශ්ර වන අතර ලොව පුරා බොහෝ පරිශීලකයින් සිටී. mod_security සඳහා, නොමිලේ සහ වාණිජ අත්සන් කට්ටල වසරකට $500 සඳහා ලබා ගත හැකිය, NAXSI සඳහා නොමිලේ අත්සන් කට්ටලයක් කොටුවෙන් පිටත ඇත, ඔබට doxsi වැනි අමතර නීති කට්ටල ද සොයාගත හැකිය.
මෙම වසරේ අපි NAXSI සහ Nemesida WAF Free හි ක්රියාකාරිත්වය පරීක්ෂා කළෙමු. ප්රතිඵල ගැන කෙටියෙන්:
- NAXSI කුකීස් වල ද්විත්ව URL විකේතනය නොකරයි
- NAXSI වින්යාස කිරීමට ඉතා දිගු කාලයක් ගත වේ - පෙරනිමියෙන්, පෙරනිමි රීති සැකසුම් වෙබ් යෙදුමක් සමඟ වැඩ කරන විට බොහෝ ඉල්ලීම් අවහිර කරයි (බලය ලබා දීම, පැතිකඩක් හෝ ද්රව්යයක් සංස්කරණය කිරීම, සමීක්ෂණවලට සහභාගී වීම, ආදිය) සහ ව්යතිරේක ලැයිස්තු උත්පාදනය කිරීම අවශ්ය වේ. , ආරක්ෂාවට නරක බලපෑමක් ඇති කරයි. පෙරනිමි සැකසුම් සහිත Nemesida WAF Free වෙබ් අඩවිය සමඟ වැඩ කරන අතරතුර එක සාවද්ය ධනාත්මක එකක්වත් සිදු නොකළේය.
- NAXSI සඳහා මග හැරුණු ප්රහාර ගණන බොහෝ ගුණයකින් වැඩි ය, යනාදිය.
අඩුපාඩු තිබියදීත්, NAXSI සහ mod_security අවම වශයෙන් වාසි දෙකක් ඇත - විවෘත මූලාශ්ර සහ පරිශීලකයින් විශාල සංඛ්යාවක්. ප්රභව කේතය හෙළි කිරීමේ අදහසට අපි සහාය දෙමු, නමුත් වාණිජ අනුවාදයේ “මුහුදු කොල්ලකෑම්” සමඟ ඇති විය හැකි ගැටළු හේතුවෙන් අපට මෙය තවමත් කළ නොහැක, නමුත් මෙම අඩුපාඩුව සඳහා වන්දි ගෙවීම සඳහා, අපි අත්සන කට්ටලයේ අන්තර්ගතය සම්පූර්ණයෙන්ම හෙළි කරන්නෙමු. අපි පෞද්ගලිකත්වය අගය කරන අතර ප්රොක්සි සේවාදායකයක් භාවිතයෙන් මෙය ඔබම සත්යාපනය කිරීමට යෝජනා කරමු.
Nemesida WAF නොමිලේ විශේෂාංග:
- අවම ව්යාජ ධනාත්මක සහ ව්යාජ ඍණ සංඛ්යාවක් සහිත උසස් තත්ත්වයේ අත්සන දත්ත සමුදාය.
- ගබඩාවෙන් ස්ථාපනය සහ යාවත්කාලීන කිරීම (එය වේගවත් සහ පහසු);
- සිදුවීම් පිළිබඳ සරල සහ තේරුම්ගත හැකි සිදුවීම්, සහ NAXSI වැනි "අවුල්" නොවේ;
- සම්පූර්ණයෙන්ම නොමිලේ, ගමනාගමන ප්රමාණය, අතථ්ය ධාරක යනාදිය සම්බන්ධයෙන් සීමාවන් නොමැත.
අවසාන වශයෙන්, මම WAF හි කාර්ය සාධනය ඇගයීම සඳහා විමසුම් කිහිපයක් ලබා දෙන්නෙමි (එය එක් එක් කලාපය තුළ එය භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
ඉල්ලීම් අවහිර නොකළහොත්, බොහෝ විට WAF හට සැබෑ ප්රහාරය මග හැරෙනු ඇත. උදාහරණ භාවිතා කිරීමට පෙර, WAF නීත්යානුකූල ඉල්ලීම් අවහිර නොකරන බවට වග බලා ගන්න.
මූලාශ්රය: www.habr.com