Noong nakaraang taon, inilabas namin ang Nemesida WAF Free, isang dynamic na module para sa NGINX na humaharang sa mga pag-atake sa mga web application. Hindi tulad ng komersyal na bersyon, na batay sa machine learning, sinusuri ng libreng bersyon ang mga kahilingan gamit lamang ang signature method.
Mga tampok ng paglabas ng Nemesida WAF 4.0.129
Bago ang kasalukuyang release, sinusuportahan lang ng Nemesida WAF dynamic na module ang Nginx Stable 1.12, 1.14 at 1.16. Ang bagong release ay nagdaragdag ng suporta para sa Nginx Mainline, simula sa 1.17, at Nginx Plus, simula sa 1.15.10 (R18).
Bakit gumawa ng isa pang WAF?
Ang NAXSI at mod_security ay marahil ang pinakasikat na libreng WAF module, at ang mod_security ay aktibong isinusulong ng Nginx, bagama't noong una ay ginamit lamang ito sa Apache2. Ang parehong mga solusyon ay libre, open source at may maraming user sa buong mundo. Para sa mod_security, ang libre at komersyal na mga set ng lagda ay magagamit para sa $500 bawat taon, para sa NAXSI mayroong isang libreng hanay ng mga lagda sa labas ng kahon, at maaari ka ring makahanap ng mga karagdagang hanay ng mga panuntunan, tulad ng doxsi.
Sa taong ito sinubukan namin ang pagpapatakbo ng NAXSI at Nemesida WAF Free. Maikling tungkol sa mga resulta:
- Ang NAXSI ay hindi gumagawa ng double URL decode sa cookies
- Ang NAXSI ay tumatagal ng napakahabang oras upang i-configure - bilang default, ang default na mga setting ng panuntunan ay haharangin ang karamihan sa mga kahilingan kapag nagtatrabaho sa isang web application (awtorisasyon, pag-edit ng isang profile o materyal, paglahok sa mga survey, atbp.) at ito ay kinakailangan upang bumuo ng mga listahan ng exception , na may masamang epekto sa seguridad. Ang Nemesida WAF Free na may mga default na setting ay hindi nagsagawa ng isang false positive habang nagtatrabaho sa site.
- ang bilang ng mga napalampas na pag-atake para sa NAXSI ay maraming beses na mas mataas, atbp.
Sa kabila ng mga pagkukulang, ang NAXSI at mod_security ay may hindi bababa sa dalawang pakinabang - open source at isang malaking bilang ng mga gumagamit. Sinusuportahan namin ang ideya ng pagsisiwalat ng source code, ngunit hindi pa namin magawa ito dahil sa mga posibleng problema sa "piracy" ng komersyal na bersyon, ngunit upang mabayaran ang pagkukulang na ito, ganap naming ibinubunyag ang mga nilalaman ng set ng lagda. Pinahahalagahan namin ang privacy at iminumungkahi na i-verify mo ito mismo gamit ang isang proxy server.
Mga Tampok ng Nemesida WAF Free:
- mataas na kalidad na signature database na may pinakamababang bilang ng False Positive at False Negative.
- pag-install at pag-update mula sa imbakan (ito ay mabilis at maginhawa);
- simple at naiintindihan na mga kaganapan tungkol sa mga insidente, at hindi isang "gulo" tulad ng NAXSI;
- ganap na libre, walang mga paghihigpit sa dami ng trapiko, mga virtual host, atbp.
Sa konklusyon, magbibigay ako ng ilang mga query upang suriin ang pagganap ng WAF (inirerekumenda na gamitin ito sa bawat isa sa mga zone: URL, ARGS, Header at Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Kung ang mga kahilingan ay hindi na-block, malamang na ang WAF ay makaligtaan ang tunay na pag-atake. Bago gamitin ang mga halimbawa, tiyaking hindi hinaharangan ng WAF ang mga lehitimong kahilingan.
Pinagmulan: www.habr.com