Geçen yıl, NGINX için web uygulamalarına yönelik saldırıları engelleyen dinamik bir modül olan Nemesida WAF Free'yi piyasaya sürdük. Makine öğrenimini temel alan ticari sürümün aksine ücretsiz sürüm, istekleri yalnızca imza yöntemini kullanarak analiz eder.
Nemesida WAF 4.0.129 sürümünün özellikleri
Mevcut sürümden önce Nemesida WAF dinamik modülü yalnızca Nginx Stable 1.12, 1.14 ve 1.16'yı destekliyordu. Yeni sürüm, 1.17'den itibaren Nginx Mainline ve 1.15.10'dan (R18) itibaren Nginx Plus için destek ekliyor.
Neden başka bir WAF yapmalısınız?
NAXSI ve mod_security muhtemelen en popüler ücretsiz WAF modülleridir ve mod_security, başlangıçta yalnızca Apache2'de kullanılmasına rağmen Nginx tarafından aktif olarak desteklenmektedir. Her iki çözüm de ücretsiz, açık kaynaklı ve dünya çapında birçok kullanıcıya sahip. Mod_security için ücretsiz ve ticari imza setleri yıllık 500$ karşılığında mevcuttur; NAXSI için kutudan çıkan ücretsiz bir imza seti mevcuttur ve ayrıca doxsi gibi ek kural setleri de bulabilirsiniz.
Bu yıl NAXSI ve Nemesida WAF Free'nin çalışmasını test ettik. Sonuçlar hakkında kısaca:
- NAXSI çerezlerde çift URL kodunu çözmez
- NAXSI'nin yapılandırılması çok uzun zaman alır - varsayılan olarak, varsayılan kural ayarları bir web uygulamasıyla çalışırken (yetkilendirme, bir profili veya materyali düzenleme, anketlere katılma vb.) çoğu isteği engeller ve istisna listeleri oluşturmak gerekir. Bu da güvenlik üzerinde kötü bir etkiye sahiptir. Nemesida WAF Free, varsayılan ayarlarla siteyle çalışırken tek bir yanlış pozitif gerçekleştirmedi.
- NAXSI için kaçırılan saldırıların sayısı kat kat fazladır, vb.
Eksikliklerine rağmen NAXSI ve mod_security'nin en az iki avantajı vardır: açık kaynak ve çok sayıda kullanıcı. Kaynak kodunun ifşa edilmesi fikrini destekliyoruz ancak ticari versiyonun "korsanlığı" ile ilgili olası sorunlar nedeniyle bunu henüz yapamıyoruz ancak bu eksikliği telafi etmek için imza setinin içeriğini tamamen açıklıyoruz. Gizliliğe değer veriyoruz ve bunu bir proxy sunucusu kullanarak kendiniz doğrulamanızı öneririz.
Nemesida WAF Free'nin Özellikleri:
- Minimum sayıda Yanlış Pozitif ve Yanlış Negatif içeren yüksek kaliteli imza veritabanı.
- depodan kurulum ve güncelleme (hızlı ve kullanışlıdır);
- NAXSI gibi bir “karmaşa” değil, olaylarla ilgili basit ve anlaşılır olaylar;
- tamamen ücretsizdir, trafik miktarı, sanal ana bilgisayarlar vb. konusunda herhangi bir kısıtlama yoktur.
Sonuç olarak, WAF'ın performansını değerlendirmek için birkaç sorgu vereceğim (her bölgede kullanılması önerilir: URL, ARGS, Başlıklar ve Gövde):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
İstekler engellenmezse büyük olasılıkla WAF gerçek saldırıyı kaçıracaktır. Örnekleri kullanmadan önce WAF'ın meşru istekleri engellemediğinden emin olun.
Kaynak: habr.com