Прошле године смо објавили Немесида ВАФ Фрее, динамички модул за НГИНКС који блокира нападе на веб апликације. За разлику од комерцијалне верзије, која се заснива на машинском учењу, бесплатна верзија анализира захтеве само методом потписа.
Карактеристике издања Немесида ВАФ 4.0.129
Пре тренутног издања, Немесида ВАФ динамички модул је подржавао само Нгинк Стабле 1.12, 1.14 и 1.16. Ново издање додаје подршку за Нгинк Маинлине, почевши од 1.17, и Нгинк Плус, почевши од 1.15.10 (Р18).
Зашто правити још један ВАФ?
НАКССИ и мод_сецурити су вероватно најпопуларнији бесплатни ВАФ модули, а мод_сецурити активно промовише Нгинк, иако је у почетку коришћен само у Апацхе2. Оба решења су бесплатна, отвореног кода и имају много корисника широм света. За мод_сецурити, бесплатни и комерцијални скупови потписа доступни су за 500 долара годишње, за НАКССИ постоји бесплатан сет потписа из кутије, а такође можете пронаћи додатне скупове правила, као што је докси.
Ове године смо тестирали рад НАКССИ и Немесида ВАФ Фрее. Укратко о резултатима:
- НАКССИ не врши декодирање двоструког УРЛ-а у колачићима
- НАКССИ траје веома дуго да се конфигурише – подразумевано, подразумевана подешавања правила ће блокирати већину захтева при раду са веб апликацијом (ауторизација, уређивање профила или материјала, учешће у анкетама, итд.) и потребно је генерисати листе изузетака , што лоше утиче на безбедност. Немесида ВАФ Фрее са подразумеваним подешавањима није дао ниједан лажни позитиван резултат током рада са сајтом.
- број пропуштених напада за НАКССИ је вишеструко већи итд.
Упркос недостацима, НАКССИ и мод_сецурити имају најмање две предности – отворени код и велики број корисника. Подржавамо идеју откривања изворног кода, али то још не можемо учинити због могућих проблема са „пиратијом“ комерцијалне верзије, али да бисмо надокнадили овај недостатак, у потпуности откривамо садржај скупа потписа. Ценимо приватност и предлажемо да ово сами проверите помоћу прокси сервера.
Карактеристике Немесида ВАФ Фрее:
- висококвалитетна база потписа са минималним бројем лажно позитивних и лажно негативних.
- инсталација и ажурирање из спремишта (брзо је и згодно);
- једноставни и разумљиви догађаји о инцидентима, а не "неред" као НАКССИ;
- потпуно бесплатно, нема ограничења у количини саобраћаја, виртуелним хостовима итд.
У закључку, даћу неколико упита за процену перформанси ВАФ-а (препоручљиво је да га користите у свакој од зона: УРЛ, АРГС, Хеадерс & Боди):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ако захтеви нису блокирани, онда ће ВАФ највероватније пропустити прави напад. Пре употребе примера, уверите се да ВАФ не блокира легитимне захтеве.
Извор: ввв.хабр.цом