கடந்த ஆண்டு நாங்கள் Nemesida WAF ஃப்ரீயை வெளியிட்டோம், இது NGINXக்கான டைனமிக் மாட்யூலாகும், இது வலை பயன்பாடுகள் மீதான தாக்குதல்களைத் தடுக்கிறது. வணிகப் பதிப்பைப் போலல்லாமல், இது இயந்திரக் கற்றலை அடிப்படையாகக் கொண்டது, இலவச பதிப்பு கையொப்ப முறையைப் பயன்படுத்தி மட்டுமே கோரிக்கைகளை பகுப்பாய்வு செய்கிறது.
Nemesida WAF 4.0.129 வெளியீட்டின் அம்சங்கள்
தற்போதைய வெளியீட்டிற்கு முன், Nemesida WAF டைனமிக் தொகுதி Nginx நிலையான 1.12, 1.14 மற்றும் 1.16 ஐ மட்டுமே ஆதரித்தது. புதிய வெளியீடு 1.17 முதல் Nginx மெயின்லைன் மற்றும் 1.15.10 (R18) முதல் Nginx Plus ஆகியவற்றுக்கான ஆதரவைச் சேர்க்கிறது.
ஏன் மற்றொரு WAF ஐ உருவாக்க வேண்டும்?
NAXSI மற்றும் mod_security ஆகியவை அநேகமாக மிகவும் பிரபலமான இலவச WAF தொகுதிகளாக இருக்கலாம், மேலும் mod_security ஆனது Nginx ஆல் தீவிரமாக ஊக்குவிக்கப்படுகிறது, இருப்பினும் ஆரம்பத்தில் இது Apache2 இல் மட்டுமே பயன்படுத்தப்பட்டது. இரண்டு தீர்வுகளும் இலவசம், திறந்த மூலமானது மற்றும் உலகம் முழுவதும் பல பயனர்களைக் கொண்டுள்ளது. mod_securityக்கு, இலவச மற்றும் வணிக கையொப்ப தொகுப்புகள் வருடத்திற்கு $500க்கு கிடைக்கின்றன, NAXSI க்கு ஒரு இலவச கையொப்பங்கள் பெட்டிக்கு வெளியே உள்ளன, மேலும் doxsi போன்ற கூடுதல் விதிகளின் தொகுப்புகளையும் நீங்கள் காணலாம்.
இந்த ஆண்டு NAXSI மற்றும் Nemesida WAF ஃப்ரீயின் செயல்பாட்டை நாங்கள் சோதித்தோம். முடிவுகளைப் பற்றி சுருக்கமாக:
- குக்கீகளில் NAXSI இரட்டை URL டிகோட் செய்யாது
- NAXSI கட்டமைக்க மிக நீண்ட நேரம் எடுக்கும் - முன்னிருப்பாக, இணைய பயன்பாட்டுடன் பணிபுரியும் போது இயல்புநிலை விதி அமைப்புகள் பெரும்பாலான கோரிக்கைகளைத் தடுக்கும் (அங்கீகாரம், சுயவிவரம் அல்லது பொருளைத் திருத்துதல், ஆய்வுகளில் பங்கேற்பது போன்றவை) மற்றும் விதிவிலக்கு பட்டியல்களை உருவாக்குவது அவசியம். , இது பாதுகாப்பில் மோசமான விளைவை ஏற்படுத்துகிறது. Nemesida WAF Free இயல்புநிலை அமைப்புகளுடன் தளத்துடன் பணிபுரியும் போது ஒரு தவறான நேர்மறையையும் செய்யவில்லை.
- NAXSI க்கு தவறவிட்ட தாக்குதல்களின் எண்ணிக்கை பல மடங்கு அதிகமாக உள்ளது.
குறைபாடுகள் இருந்தபோதிலும், NAXSI மற்றும் mod_security ஆகியவை குறைந்தபட்சம் இரண்டு நன்மைகளைக் கொண்டுள்ளன - திறந்த மூல மற்றும் அதிக எண்ணிக்கையிலான பயனர்கள். மூலக் குறியீட்டை வெளிப்படுத்தும் யோசனையை நாங்கள் ஆதரிக்கிறோம், ஆனால் வணிகப் பதிப்பின் "திருட்டு" தொடர்பான சாத்தியமான சிக்கல்களால் இதை இன்னும் செய்ய முடியாது, ஆனால் இந்த குறைபாட்டை ஈடுசெய்ய, கையொப்ப தொகுப்பின் உள்ளடக்கங்களை நாங்கள் முழுமையாக வெளிப்படுத்துகிறோம். தனியுரிமையை நாங்கள் மதிக்கிறோம் மற்றும் ப்ராக்ஸி சேவையகத்தைப் பயன்படுத்தி இதை நீங்களே சரிபார்க்க பரிந்துரைக்கிறோம்.
Nemesida WAF இலவச அம்சங்கள்:
- குறைந்தபட்ச எண்ணிக்கையிலான தவறான நேர்மறை மற்றும் தவறான எதிர்மறையான உயர்தர கையொப்ப தரவுத்தளம்.
- களஞ்சியத்திலிருந்து நிறுவல் மற்றும் புதுப்பித்தல் (இது வேகமானது மற்றும் வசதியானது);
- சம்பவங்களைப் பற்றிய எளிய மற்றும் புரிந்துகொள்ளக்கூடிய நிகழ்வுகள், மற்றும் NAXSI போன்ற "குழப்பம்" அல்ல;
- முற்றிலும் இலவசம், போக்குவரத்தின் அளவு, மெய்நிகர் ஹோஸ்ட்கள் போன்றவற்றில் எந்த கட்டுப்பாடுகளும் இல்லை.
முடிவில், WAF இன் செயல்திறனை மதிப்பிடுவதற்கு நான் பல வினவல்களைத் தருகிறேன் (ஒவ்வொரு மண்டலத்திலும் இதைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது: URL, ARGS, தலைப்புகள் & உடல்):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
கோரிக்கைகள் தடுக்கப்படவில்லை என்றால், பெரும்பாலும் WAF உண்மையான தாக்குதலை இழக்கும். எடுத்துக்காட்டுகளைப் பயன்படுத்துவதற்கு முன், WAF முறையான கோரிக்கைகளைத் தடுக்கவில்லை என்பதை உறுதிப்படுத்தவும்.
ஆதாரம்: www.habr.com