پچھلے سال ہم نے Nemesida WAF Free جاری کیا، NGINX کے لیے ایک متحرک ماڈیول جو ویب ایپلیکیشنز پر حملوں کو روکتا ہے۔ تجارتی ورژن کے برعکس، جو مشین لرننگ پر مبنی ہے، مفت ورژن صرف دستخطی طریقہ استعمال کرتے ہوئے درخواستوں کا تجزیہ کرتا ہے۔
Nemesida WAF 4.0.129 کی ریلیز کی خصوصیات
موجودہ ریلیز سے پہلے، Nemesida WAF ڈائنامک ماڈیول صرف Nginx Stable 1.12، 1.14 اور 1.16 کو سپورٹ کرتا تھا۔ نئی ریلیز 1.17 سے شروع ہونے والی Nginx Mainline، اور 1.15.10 (R18) سے شروع ہونے والے Nginx Plus کے لیے تعاون کا اضافہ کرتی ہے۔
ایک اور WAF کیوں بنائیں؟
NAXSI اور mod_security شاید سب سے زیادہ مقبول مفت WAF ماڈیول ہیں، اور mod_security کو Nginx کے ذریعے فعال طور پر فروغ دیا جاتا ہے، حالانکہ ابتدائی طور پر یہ صرف Apache2 میں استعمال ہوتا تھا۔ دونوں حل مفت، اوپن سورس ہیں اور دنیا بھر میں بہت سے صارفین ہیں۔ mod_security کے لیے، مفت اور تجارتی دستخطوں کے سیٹ $500 فی سال میں دستیاب ہیں، NAXSI کے لیے باکس سے باہر دستخطوں کا ایک مفت سیٹ ہے، اور آپ قواعد کے اضافی سیٹ بھی تلاش کر سکتے ہیں، جیسے doxsi۔
اس سال ہم نے NAXSI اور Nemesida WAF مفت کے آپریشن کا تجربہ کیا۔ نتائج کے بارے میں مختصراً:
- NAXSI کوکیز میں ڈبل یو آر ایل ڈی کوڈ نہیں کرتا ہے۔
- NAXSI کو ترتیب دینے میں کافی وقت لگتا ہے - بطور ڈیفالٹ، پہلے سے طے شدہ اصول کی ترتیبات ویب ایپلیکیشن کے ساتھ کام کرتے وقت زیادہ تر درخواستوں کو روک دیتی ہیں (اجازت دینا، پروفائل یا مواد میں ترمیم کرنا، سروے میں حصہ لینا وغیرہ) اور مستثنیٰ فہرستیں تیار کرنا ضروری ہے۔ جس کا سیکورٹی پر برا اثر پڑتا ہے۔ پہلے سے طے شدہ ترتیبات کے ساتھ Nemesida WAF Free نے سائٹ کے ساتھ کام کرتے ہوئے ایک بھی غلط مثبت کارکردگی کا مظاہرہ نہیں کیا۔
- NAXSI کے لیے چھوٹ جانے والے حملوں کی تعداد کئی گنا زیادہ ہے، وغیرہ۔
خامیوں کے باوجود، NAXSI اور mod_security کے کم از کم دو فائدے ہیں - اوپن سورس اور صارفین کی ایک بڑی تعداد۔ ہم سورس کوڈ کو ظاہر کرنے کے خیال کی حمایت کرتے ہیں، لیکن تجارتی ورژن کے "پائریسی" کے ممکنہ مسائل کی وجہ سے ہم ابھی تک ایسا نہیں کر سکتے، لیکن اس کمی کو پورا کرنے کے لیے، ہم دستخطی سیٹ کے مواد کو مکمل طور پر ظاہر کر رہے ہیں۔ ہم رازداری کو اہمیت دیتے ہیں اور تجویز کرتے ہیں کہ آپ پراکسی سرور کا استعمال کرکے خود اس کی تصدیق کریں۔
Nemesida WAF مفت کی خصوصیات:
- غلط مثبت اور غلط منفی کی کم از کم تعداد کے ساتھ اعلی معیار کا دستخطی ڈیٹا بیس۔
- ذخیرہ سے تنصیب اور اپ ڈیٹ (یہ تیز اور آسان ہے)؛
- واقعات کے بارے میں سادہ اور قابل فہم واقعات، اور NAXSI کی طرح "گڑبڑ" نہیں۔
- مکمل طور پر مفت، ٹریفک کی مقدار، ورچوئل ہوسٹس وغیرہ پر کوئی پابندی نہیں ہے۔
آخر میں، میں WAF کی کارکردگی کا جائزہ لینے کے لیے کئی سوالات دوں گا (اسے ہر ایک زون میں استعمال کرنے کی سفارش کی جاتی ہے: URL، ARGS، Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
اگر درخواستوں کو مسدود نہیں کیا جاتا ہے، تو غالب امکان ہے کہ WAF حقیقی حملے سے محروم ہو جائے گا۔ مثالیں استعمال کرنے سے پہلے، یقینی بنائیں کہ WAF جائز درخواستوں کو مسدود نہیں کر رہا ہے۔
ماخذ: www.habr.com