Mwaka jana tulitoa Nemesida WAF Free, moduli inayobadilika ya NGINX inayozuia mashambulizi kwenye programu za wavuti. Tofauti na toleo la kibiashara, ambalo linategemea kujifunza kwa mashine, toleo lisilolipishwa huchanganua maombi kwa kutumia mbinu ya sahihi pekee.
Vipengele vya kutolewa kwa Nemesida WAF 4.0.129
Kabla ya toleo la sasa, moduli inayobadilika ya Nemesida WAF iliauni Nginx Stable 1.12, 1.14 na 1.16 pekee. Toleo jipya linaongeza usaidizi kwa Nginx Mainline, kuanzia 1.17, na Nginx Plus, kuanzia 1.15.10 (R18).
Kwa nini kutengeneza WAF nyingine?
NAXSI na mod_security labda ndizo moduli maarufu za WAF zisizolipishwa, na mod_security inakuzwa kikamilifu na Nginx, ingawa hapo awali ilitumiwa katika Apache2 pekee. Suluhu zote mbili ni za bure, chanzo wazi na zina watumiaji wengi kote ulimwenguni. Kwa mod_security, seti za saini za bure na za kibiashara zinapatikana kwa $ 500 kwa mwaka, kwa NAXSI kuna seti ya bure ya saini nje ya boksi, na unaweza pia kupata seti za ziada za sheria, kama vile doxsi.
Mwaka huu tulijaribu uendeshaji wa NAXSI na Nemesida WAF Bure. Kwa kifupi kuhusu matokeo:
- NAXSI haifanyi kusimbua URL mara mbili katika vidakuzi
- NAXSI inachukua muda mrefu sana kusanidi - kwa chaguo-msingi, mipangilio ya sheria chaguo-msingi itazuia maombi mengi wakati wa kufanya kazi na programu ya wavuti (idhini, kuhariri wasifu au nyenzo, kushiriki katika tafiti, n.k.) na inahitajika kutoa orodha za ubaguzi. , ambayo ina athari mbaya kwa usalama. Nemesida WAF Isiyolipishwa na mipangilio chaguo-msingi haikufanya uwongo hata mmoja wakati wa kufanya kazi na tovuti.
- idadi ya mashambulizi yaliyokosa kwa NAXSI ni mara nyingi zaidi, nk.
Licha ya mapungufu, NAXSI na mod_security wana angalau faida mbili - chanzo wazi na idadi kubwa ya watumiaji. Tunaunga mkono wazo la kufichua nambari ya chanzo, lakini bado hatuwezi kufanya hivi kwa sababu ya shida zinazowezekana na "uharamia" wa toleo la kibiashara, lakini ili kufidia upungufu huu, tunafichua kikamilifu yaliyomo kwenye seti ya saini. Tunathamini ufaragha na tunapendekeza uthibitishe hili mwenyewe kwa kutumia seva mbadala.
Vipengele vya Nemesida WAF Bure:
- hifadhidata ya sahihi ya ubora wa juu iliyo na idadi ya chini zaidi ya Uongo Chanya na Hasi Uongo.
- ufungaji na sasisho kutoka kwa hifadhi (ni haraka na rahisi);
- matukio rahisi na yanayoeleweka kuhusu matukio, na sio "fujo" kama NAXSI;
- bure kabisa, haina vikwazo kwa kiasi cha trafiki, majeshi virtual, nk.
Kwa kumalizia, nitatoa maswali kadhaa ili kutathmini utendakazi wa WAF (inapendekezwa kuitumia katika kila kanda: URL, ARGS, Vichwa & Mwili):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ikiwa maombi hayajazuiwa, basi uwezekano mkubwa wa WAF itakosa shambulio la kweli. Kabla ya kutumia mifano, hakikisha kwamba WAF haizuii maombi halali.
Chanzo: mapenzi.com