Lani smo izdali Nemesida WAF Free, dinamični modul za NGINX, ki blokira napade na spletne aplikacije. Za razliko od komercialne različice, ki temelji na strojnem učenju, brezplačna različica analizira zahteve samo z metodo podpisa.
Značilnosti izdaje Nemesida WAF 4.0.129
Pred trenutno izdajo je dinamični modul Nemesida WAF podpiral samo Nginx Stable 1.12, 1.14 in 1.16. Nova izdaja dodaja podporo za Nginx Mainline, od različice 1.17 naprej, in Nginx Plus od različice 1.15.10 (R18).
Zakaj narediti še en WAF?
NAXSI in mod_security sta verjetno najbolj priljubljena brezplačna modula WAF, mod_security pa aktivno promovira Nginx, čeprav je bil sprva uporabljen samo v Apache2. Obe rešitvi sta brezplačni, odprtokodni in imata veliko uporabnikov po vsem svetu. Za mod_security so brezplačni in komercialni nabori podpisov na voljo za 500 USD na leto, za NAXSI je na voljo brezplačen nabor podpisov, ki so že pripravljeni, najdete pa lahko tudi dodatne nabore pravil, kot je doxsi.
Letos smo testirali delovanje NAXSI in Nemesida WAF Free. Na kratko o rezultatih:
- NAXSI v piškotkih ne dekodira dvojnega URL-ja
- Konfiguracija NAXSI traja zelo dolgo - privzete nastavitve pravila blokirajo večino zahtev pri delu s spletno aplikacijo (avtorizacija, urejanje profila ali gradiva, sodelovanje v anketah itd.) in potrebno je ustvariti sezname izjem , kar slabo vpliva na varnost. Nemesida WAF Free s privzetimi nastavitvami med delom s spletnim mestom ni pokazala niti enega napačnega rezultata.
- število zgrešenih napadov za NAXSI je večkrat večje itd.
Kljub pomanjkljivostim imata NAXSI in mod_security vsaj dve prednosti - odprtokodnost in veliko število uporabnikov. Podpiramo idejo o razkritju izvorne kode, vendar tega še ne moremo storiti zaradi morebitnih težav s "piratstvom" komercialne različice, vendar za nadomestitev te pomanjkljivosti v celoti razkrivamo vsebino kompleta podpisov. Cenimo zasebnost in predlagamo, da to preverite sami z uporabo proxy strežnika.
Značilnosti Nemesida WAF Free:
- visokokakovostna zbirka podatkov o podpisih z najmanjšim številom lažno pozitivnih in lažno negativnih.
- namestitev in posodobitev iz repozitorija (je hitro in priročno);
- preprosti in razumljivi dogodki o incidentih in ne "zmešnjava", kot je NAXSI;
- popolnoma brezplačen, nima omejitev glede količine prometa, virtualnih gostiteljev itd.
Na koncu bom podal več poizvedb za oceno delovanja WAF (priporočljivo je, da ga uporabite v vsakem od območij: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Če zahteve niso blokirane, bo WAF najverjetneje zamudil pravi napad. Pred uporabo primerov se prepričajte, da WAF ne blokira zakonitih zahtev.
Vir: www.habr.com