Förra året släppte vi Nemesida WAF Free, en dynamisk modul för NGINX som blockerar attacker mot webbapplikationer. Till skillnad från den kommersiella versionen, som är baserad på maskininlärning, analyserar gratisversionen förfrågningar endast med hjälp av signaturmetoden.
Funktioner i releasen av Nemesida WAF 4.0.129
Före den aktuella utgåvan stödde Nemesida WAF dynamiska modulen endast Nginx Stable 1.12, 1.14 och 1.16. Den nya utgåvan lägger till stöd för Nginx Mainline, från 1.17, och Nginx Plus, från 1.15.10 (R18).
Varför göra en annan WAF?
NAXSI och mod_security är förmodligen de mest populära gratis WAF-modulerna, och mod_security främjas aktivt av Nginx, även om det från början endast användes i Apache2. Båda lösningarna är gratis, öppen källkod och har många användare runt om i världen. För mod_security är gratis och kommersiella signaturuppsättningar tillgängliga för $500 per år, för NAXSI finns det en gratis uppsättning signaturer direkt från förpackningen, och du kan också hitta ytterligare uppsättningar regler, som doxsi.
I år testade vi driften av NAXSI och Nemesida WAF Free. Kort om resultaten:
- NAXSI gör inte dubbel URL-avkodning i cookies
- NAXSI tar väldigt lång tid att konfigurera - som standard kommer standardregelinställningarna att blockera de flesta förfrågningar när man arbetar med en webbapplikation (auktorisering, redigering av en profil eller material, deltagande i undersökningar, etc.) och det är nödvändigt att generera undantagslistor , vilket har en dålig effekt på säkerheten. Nemesida WAF Free med standardinställningar gjorde inte en enda falsk positiv under arbetet med sajten.
- antalet missade attacker för NAXSI är många gånger högre osv.
Trots bristerna har NAXSI och mod_security åtminstone två fördelar - öppen källkod och ett stort antal användare. Vi stöder idén att avslöja källkoden, men vi kan inte göra detta ännu på grund av eventuella problem med "piratkopiering" av den kommersiella versionen, men för att kompensera för denna brist avslöjar vi helt innehållet i signaturuppsättningen. Vi värdesätter integritet och föreslår att du verifierar detta själv med en proxyserver.
Funktioner hos Nemesida WAF Free:
- högkvalitativ signaturdatabas med ett minsta antal falska positiva och falska negativa.
- installation och uppdatering från förvaret (det är snabbt och bekvämt);
- enkla och begripliga händelser om incidenter, och inte en "röra" som NAXSI;
- helt gratis, har inga begränsningar på mängden trafik, virtuella värdar, etc.
Sammanfattningsvis kommer jag att ge flera frågor för att utvärdera prestandan för WAF (det rekommenderas att använda det i var och en av zonerna: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Om förfrågningarna inte blockeras kommer WAF troligen att missa den riktiga attacken. Innan du använder exemplen, se till att WAF inte blockerar legitima förfrågningar.
Källa: will.com