గత సంవత్సరం మేము Nemesida WAF ఫ్రీని విడుదల చేసాము, ఇది వెబ్ అప్లికేషన్లపై దాడులను నిరోధించే NGINX కోసం డైనమిక్ మాడ్యూల్. మెషిన్ లెర్నింగ్పై ఆధారపడిన వాణిజ్య సంస్కరణ వలె కాకుండా, ఉచిత సంస్కరణ సంతకం పద్ధతిని ఉపయోగించి మాత్రమే అభ్యర్థనలను విశ్లేషిస్తుంది.
నెమెసిడా WAF 4.0.129 విడుదల యొక్క లక్షణాలు
ప్రస్తుత విడుదలకు ముందు, నెమెసిడా WAF డైనమిక్ మాడ్యూల్ Nginx స్టేబుల్ 1.12, 1.14 మరియు 1.16 లకు మాత్రమే మద్దతు ఇచ్చింది. కొత్త విడుదల 1.17 నుండి ప్రారంభమయ్యే Nginx మెయిన్లైన్కు మరియు 1.15.10 (R18) నుండి ప్రారంభమయ్యే Nginx ప్లస్కు మద్దతును జోడిస్తుంది.
మరొక WAF ఎందుకు తయారు చేయాలి?
NAXSI మరియు mod_security బహుశా అత్యంత జనాదరణ పొందిన ఉచిత WAF మాడ్యూల్లు, మరియు mod_security Nginxచే చురుకుగా ప్రచారం చేయబడింది, అయితే ఇది మొదట్లో Apache2లో మాత్రమే ఉపయోగించబడింది. రెండు పరిష్కారాలు ఉచితం, ఓపెన్ సోర్స్ మరియు ప్రపంచవ్యాప్తంగా చాలా మంది వినియోగదారులను కలిగి ఉన్నాయి. mod_security కోసం, ఉచిత మరియు వాణిజ్య సంతకం సెట్లు సంవత్సరానికి $500కి అందుబాటులో ఉంటాయి, NAXSI కోసం బాక్స్ వెలుపల సంతకాల యొక్క ఉచిత సెట్ ఉంది మరియు మీరు doxsi వంటి అదనపు నియమాల సెట్లను కూడా కనుగొనవచ్చు.
ఈ సంవత్సరం మేము NAXSI మరియు Nemesida WAF ఫ్రీ యొక్క ఆపరేషన్ని పరీక్షించాము. ఫలితాల గురించి క్లుప్తంగా:
- కుక్కీలలో NAXSI డబుల్ URL డీకోడ్ చేయదు
- NAXSI కాన్ఫిగర్ చేయడానికి చాలా సమయం పడుతుంది - డిఫాల్ట్గా, డిఫాల్ట్ రూల్ సెట్టింగ్లు వెబ్ అప్లికేషన్తో పని చేస్తున్నప్పుడు చాలా అభ్యర్థనలను బ్లాక్ చేస్తుంది (అధికారీకరణ, ప్రొఫైల్ లేదా మెటీరియల్ని సవరించడం, సర్వేలలో పాల్గొనడం మొదలైనవి) మరియు మినహాయింపు జాబితాలను రూపొందించడం అవసరం. , భద్రతపై చెడు ప్రభావం చూపుతుంది. డిఫాల్ట్ సెట్టింగ్లతో Nemesida WAF ఫ్రీ సైట్తో పని చేస్తున్నప్పుడు ఒక్క తప్పుడు పాజిటివ్ కూడా చేయలేదు.
- NAXSI కోసం తప్పిన దాడుల సంఖ్య చాలా రెట్లు ఎక్కువ, మొదలైనవి.
లోపాలు ఉన్నప్పటికీ, NAXSI మరియు mod_securityకి కనీసం రెండు ప్రయోజనాలు ఉన్నాయి - ఓపెన్ సోర్స్ మరియు పెద్ద సంఖ్యలో వినియోగదారులు. మేము సోర్స్ కోడ్ను బహిర్గతం చేయాలనే ఆలోచనకు మద్దతు ఇస్తున్నాము, అయితే వాణిజ్య సంస్కరణ యొక్క “పైరసీ”తో సాధ్యమయ్యే సమస్యల కారణంగా మేము దీన్ని ఇంకా చేయలేము, అయితే ఈ లోపాన్ని భర్తీ చేయడానికి, మేము సంతకం సెట్లోని విషయాలను పూర్తిగా బహిర్గతం చేస్తున్నాము. మేము గోప్యతకు విలువనిస్తాము మరియు ప్రాక్సీ సర్వర్ని ఉపయోగించి దీన్ని మీరే ధృవీకరించుకోవాలని సూచిస్తున్నాము.
నెమెసిడా WAF ఫ్రీ ఫీచర్లు:
- కనిష్ట సంఖ్యలో ఫాల్స్ పాజిటివ్ మరియు ఫాల్స్ నెగెటివ్లతో అధిక-నాణ్యత సంతకం డేటాబేస్.
- రిపోజిటరీ నుండి సంస్థాపన మరియు నవీకరణ (ఇది వేగవంతమైనది మరియు అనుకూలమైనది);
- సంఘటనల గురించి సాధారణ మరియు అర్థమయ్యే సంఘటనలు, మరియు NAXSI వంటి "మెస్" కాదు;
- పూర్తిగా ఉచితం, ట్రాఫిక్, వర్చువల్ హోస్ట్లు మొదలైన వాటిపై ఎటువంటి పరిమితులు లేవు.
ముగింపులో, నేను WAF పనితీరును అంచనా వేయడానికి అనేక ప్రశ్నలను ఇస్తాను (దీన్ని ప్రతి జోన్లో ఉపయోగించమని సిఫార్సు చేయబడింది: URL, ARGS, హెడర్లు & బాడీ):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
అభ్యర్థనలు నిరోధించబడకపోతే, చాలా మటుకు WAF నిజమైన దాడిని కోల్పోతుంది. ఉదాహరణలను ఉపయోగించే ముందు, WAF చట్టబద్ధమైన అభ్యర్థనలను నిరోధించలేదని నిర్ధారించుకోండి.
మూలం: www.habr.com