Minulý rok sme vydali Nemesida WAF Free, dynamický modul pre NGINX, ktorý blokuje útoky na webové aplikácie. Na rozdiel od komerčnej verzie, ktorá je založená na strojovom učení, bezplatná verzia analyzuje požiadavky iba pomocou podpisovej metódy.
Vlastnosti vydania Nemesida WAF 4.0.129
Pred aktuálnym vydaním dynamický modul Nemesida WAF podporoval iba Nginx Stable 1.12, 1.14 a 1.16. Nové vydanie pridáva podporu pre Nginx Mainline od 1.17 a Nginx Plus od 1.15.10 (R18).
Prečo robiť ďalší WAF?
NAXSI a mod_security sú pravdepodobne najobľúbenejšie bezplatné moduly WAF a mod_security aktívne propaguje Nginx, hoci pôvodne sa používal iba v Apache2. Obe riešenia sú bezplatné, open source a majú veľa používateľov po celom svete. Pre mod_security sú dostupné bezplatné a komerčné sady podpisov za 500 dolárov ročne, pre NAXSI je k dispozícii bezplatná sada podpisov hneď po vybalení a môžete tiež nájsť ďalšie sady pravidiel, ako napríklad doxsi.
Tento rok sme testovali fungovanie NAXSI a Nemesida WAF Free. Stručne o výsledkoch:
- NAXSI nevykonáva dvojité dekódovanie URL v súboroch cookie
- NAXSI sa konfiguruje veľmi dlho - predvolené nastavenie pravidiel blokuje väčšinu požiadaviek pri práci s webovou aplikáciou (autorizácia, úprava profilu alebo materiálu, účasť v prieskumoch a pod.) a je potrebné generovať zoznamy výnimiek , čo má zlý vplyv na bezpečnosť. Nemesida WAF Free s predvolenými nastaveniami nevykonala počas práce so stránkou ani jeden falošne pozitívny výsledok.
- počet zmeškaných útokov pre NAXSI je mnohonásobne vyšší atď.
Napriek nedostatkom majú NAXSI a mod_security minimálne dve výhody – open source a veľký počet používateľov. Podporujeme myšlienku zverejnenia zdrojového kódu, ale zatiaľ to nemôžeme urobiť kvôli možným problémom s „pirátstvom“ komerčnej verzie, ale aby sme tento nedostatok kompenzovali, plne zverejňujeme obsah sady podpisov. Ceníme si súkromie a odporúčame, aby ste si to overili sami pomocou proxy servera.
Vlastnosti Nemesida WAF Free:
- kvalitná databáza podpisov s minimálnym počtom falošne pozitívnych a falošných negatívov.
- inštalácia a aktualizácia z úložiska (je to rýchle a pohodlné);
- jednoduché a zrozumiteľné udalosti o incidentoch a nie „neporiadok“ ako NAXSI;
- úplne zadarmo, nemá žiadne obmedzenia týkajúce sa objemu prevádzky, virtuálnych hostiteľov atď.
Na záver uvediem niekoľko otázok na vyhodnotenie výkonu WAF (odporúča sa používať ho v každej zo zón: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ak požiadavky nie sú zablokované, potom s najväčšou pravdepodobnosťou WAF zmešká skutočný útok. Pred použitím príkladov sa uistite, že WAF neblokuje legitímne požiadavky.
Zdroj: hab.com