ปีที่แล้วเราเปิดตัว Nemesida WAF Free ซึ่งเป็นโมดูลไดนามิกสำหรับ NGINX ที่บล็อกการโจมตีบนเว็บแอปพลิเคชัน ต่างจากเวอร์ชันเชิงพาณิชย์ที่ใช้การเรียนรู้ของเครื่อง เวอร์ชันฟรีจะวิเคราะห์คำขอโดยใช้วิธีลายเซ็นเท่านั้น
คุณสมบัติของการเปิดตัว Nemesida WAF 4.0.129
ก่อนการเปิดตัวปัจจุบัน โมดูลไดนามิก Nemesida WAF รองรับเฉพาะ Nginx Stable 1.12, 1.14 และ 1.16 เท่านั้น รุ่นใหม่เพิ่มการรองรับ Nginx Mainline เริ่มตั้งแต่ 1.17 และ Nginx Plus เริ่มตั้งแต่ 1.15.10 (R18)
ทำไมต้องสร้าง WAF อีก?
NAXSI และ mod_security น่าจะเป็นโมดูล WAF ฟรีที่ได้รับความนิยมมากที่สุด และ mod_security ได้รับการส่งเสริมโดย Nginx แม้ว่าในตอนแรกจะใช้เฉพาะใน Apache2 เท่านั้น โซลูชันทั้งสองนั้นฟรี เป็นโอเพ่นซอร์สและมีผู้ใช้จำนวนมากทั่วโลก สำหรับ mod_security ชุดลายเซ็นฟรีและเชิงพาณิชย์จะมีให้ในราคา 500 เหรียญสหรัฐฯ ต่อปี สำหรับ NAXSI จะมีชุดลายเซ็นฟรีทันที และคุณยังสามารถค้นหาชุดกฎเพิ่มเติม เช่น doxsi
ปีนี้เราได้ทดสอบการทำงานของ NAXSI และ Nemesida WAF Free สั้น ๆ เกี่ยวกับผลลัพธ์:
- NAXSI ไม่ทำการถอดรหัส URL สองครั้งในคุกกี้
- NAXSI ใช้เวลานานมากในการกำหนดค่า - ตามค่าเริ่มต้น การตั้งค่ากฎเริ่มต้นจะบล็อกคำขอส่วนใหญ่เมื่อทำงานกับเว็บแอปพลิเคชัน (การอนุญาต การแก้ไขโปรไฟล์หรือเนื้อหา การเข้าร่วมการสำรวจ ฯลฯ) และจำเป็นต้องสร้างรายการข้อยกเว้น ซึ่งส่งผลเสียต่อความปลอดภัย Nemesida WAF Free พร้อมการตั้งค่าเริ่มต้นไม่ได้ดำเนินการบวกลวงแม้แต่ครั้งเดียวในขณะที่ทำงานกับไซต์
- จำนวนการโจมตีที่พลาดสำหรับ NAXSI นั้นสูงกว่าหลายเท่า เป็นต้น
แม้จะมีข้อบกพร่อง NAXSI และ mod_security ก็มีข้อดีอย่างน้อยสองประการ - โอเพ่นซอร์สและผู้ใช้จำนวนมาก เราสนับสนุนแนวคิดในการเปิดเผยซอร์สโค้ด แต่เราไม่สามารถทำเช่นนี้ได้เนื่องจากปัญหาที่อาจเกิดขึ้นกับ "การละเมิดลิขสิทธิ์" ของเวอร์ชันเชิงพาณิชย์ แต่เพื่อชดเชยข้อบกพร่องนี้ เรากำลังเปิดเผยเนื้อหาของชุดลายเซ็นทั้งหมด เราให้ความสำคัญกับความเป็นส่วนตัวและขอแนะนำให้คุณยืนยันสิ่งนี้ด้วยตนเองโดยใช้พร็อกซีเซิร์ฟเวอร์
คุณสมบัติของ Nemesida WAF ฟรี:
- ฐานข้อมูลลายเซ็นคุณภาพสูงพร้อมจำนวน False Positive และ False Negative ขั้นต่ำ
- การติดตั้งและอัพเดตจากพื้นที่เก็บข้อมูล (รวดเร็วและสะดวก)
- เหตุการณ์ที่เรียบง่ายและเข้าใจได้เกี่ยวกับเหตุการณ์ต่างๆ ไม่ใช่ "ความยุ่งเหยิง" เช่น NAXSI
- ฟรีโดยสมบูรณ์ ไม่มีข้อจำกัดเกี่ยวกับปริมาณการรับส่งข้อมูล โฮสต์เสมือน ฯลฯ
โดยสรุป ฉันจะถามคำถามหลายข้อเพื่อประเมินประสิทธิภาพของ WAF (แนะนำให้ใช้ในแต่ละโซน: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
หากคำขอไม่ถูกบล็อก เป็นไปได้มากว่า WAF จะพลาดการโจมตีจริง ก่อนที่จะใช้ตัวอย่าง ตรวจสอบให้แน่ใจว่า WAF ไม่ได้บล็อกคำขอที่ถูกต้องตามกฎหมาย
ที่มา: will.com