Vitin e kaluar ne lëshuam Nemesida WAF Free, një modul dinamik për NGINX që bllokon sulmet në aplikacionet në internet. Ndryshe nga versioni komercial, i cili bazohet në mësimin e makinerive, versioni falas analizon kërkesat vetëm duke përdorur metodën e nënshkrimit.
Karakteristikat e lëshimit të Nemesida WAF 4.0.129
Para lëshimit aktual, moduli dinamik Nemesida WAF mbështeti vetëm Nginx Stable 1.12, 1.14 dhe 1.16. Publikimi i ri shton mbështetjen për Nginx Mainline, duke filluar nga 1.17, dhe Nginx Plus, duke filluar nga 1.15.10 (R18).
Pse të bëni një tjetër WAF?
NAXSI dhe mod_security janë ndoshta modulet më të njohura pa pagesë WAF, dhe mod_security promovohet në mënyrë aktive nga Nginx, megjithëse fillimisht u përdor vetëm në Apache2. Të dyja zgjidhjet janë falas, me burim të hapur dhe kanë shumë përdorues në mbarë botën. Për mod_security, kompletet e nënshkrimeve falas dhe komerciale janë të disponueshme për 500 dollarë në vit, për NAXSI ka një grup nënshkrimesh falas jashtë kutisë, dhe gjithashtu mund të gjeni grupe rregullash shtesë, të tilla si doxsi.
Këtë vit ne testuam funksionimin e NAXSI dhe Nemesida WAF Free. Shkurtimisht për rezultatet:
- NAXSI nuk bën dekodim të dyfishtë të URL-ve në cookie
- NAXSI kërkon një kohë shumë të gjatë për tu konfiguruar - si parazgjedhje, cilësimet e rregullave të paracaktuar do të bllokojnë shumicën e kërkesave kur punoni me një aplikacion ueb (autorizim, redaktimi i një profili ose materiali, pjesëmarrja në sondazhe, etj.) dhe është e nevojshme të gjenerohen lista përjashtimesh , e cila ka një efekt të keq në siguri. Nemesida WAF Free me cilësimet e paracaktuara nuk ka kryer asnjë false pozitive gjatë punës me sitin.
- numri i sulmeve të humbura për NAXSI është shumë herë më i lartë, etj.
Pavarësisht nga mangësitë, NAXSI dhe mod_security kanë të paktën dy avantazhe - burim të hapur dhe një numër të madh përdoruesish. Ne mbështesim idenë e zbulimit të kodit burimor, por nuk mund ta bëjmë këtë ende për shkak të problemeve të mundshme me "piraterinë" e versionit komercial, por për të kompensuar këtë mangësi, ne po zbulojmë plotësisht përmbajtjen e grupit të nënshkrimeve. Ne e vlerësojmë privatësinë dhe ju sugjerojmë ta verifikoni këtë vetë duke përdorur një server proxy.
Karakteristikat e Nemesida WAF Free:
- bazë të dhënash me nënshkrime me cilësi të lartë me një numër minimal të False Pozitive dhe False Negative.
- instalimi dhe përditësimi nga depoja (është i shpejtë dhe i përshtatshëm);
- ngjarje të thjeshta dhe të kuptueshme për incidente, dhe jo një “rrëmujë” si NAXSI;
- plotësisht falas, nuk ka kufizime në sasinë e trafikut, hostet virtuale, etj.
Si përfundim, unë do të jap disa pyetje për të vlerësuar performancën e WAF (rekomandohet përdorimi i tij në secilën prej zonave: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Nëse kërkesat nuk bllokohen, atëherë ka shumë të ngjarë që WAF të humbasë sulmin e vërtetë. Përpara se të përdorni shembujt, sigurohuni që WAF nuk po bllokon kërkesat legjitime.
Burimi: www.habr.com