O'tgan yili biz Nemesida WAF Free-ni chiqardik, bu NGINX uchun veb-ilovalarga hujumlarni bloklaydigan dinamik modul. Mashinani o'rganishga asoslangan tijorat versiyasidan farqli o'laroq, bepul versiya so'rovlarni faqat imzo usuli yordamida tahlil qiladi.
Nemesida WAF 4.0.129 versiyasini chiqarish xususiyatlari
Joriy nashrdan oldin Nemesida WAF dinamik moduli faqat Nginx Stable 1.12, 1.14 va 1.16 ni qo'llab-quvvatlagan. Yangi versiya 1.17 dan boshlab Nginx Mainline va 1.15.10 (R18) dan boshlab Nginx Plus-ni qo'llab-quvvatlaydi.
Nima uchun boshqa WAF qilish kerak?
NAXSI va mod_security, ehtimol, eng mashhur bepul WAF modullaridir va mod_security Nginx tomonidan faol ravishda targ'ib qilinadi, garchi dastlab u faqat Apache2 da ishlatilgan. Ikkala yechim ham bepul, ochiq manba va butun dunyo bo'ylab ko'plab foydalanuvchilarga ega. mod_security uchun bepul va tijorat imzolari to'plamlari yiliga 500 dollarga, NAXSI uchun qutidan tashqarida bepul imzolar to'plami mavjud va siz doxsi kabi qo'shimcha qoidalar to'plamini ham topishingiz mumkin.
Bu yil biz NAXSI va Nemesida WAF Free-ning ishlashini sinab ko'rdik. Natijalar haqida qisqacha:
- NAXSI cookie-fayllarda ikki marta URL dekodlashni amalga oshirmaydi
- NAXSI-ni sozlash juda uzoq vaqt talab etadi - sukut bo'yicha, standart qoida sozlamalari veb-ilova bilan ishlashda ko'pchilik so'rovlarni bloklaydi (avtorizatsiya, profil yoki materialni tahrirlash, so'rovlarda qatnashish va hokazo) va istisnolar ro'yxatini yaratish kerak. , bu xavfsizlikka yomon ta'sir qiladi. Standart sozlamalarga ega Nemesida WAF Free sayt bilan ishlashda bitta noto'g'ri ijobiy natija bermadi.
- NAXSI uchun o'tkazib yuborilgan hujumlar soni bir necha baravar yuqori va hokazo.
Kamchiliklarga qaramay, NAXSI va mod_security kamida ikkita afzalliklarga ega - ochiq manba va ko'p sonli foydalanuvchilar. Biz manba kodini oshkor qilish g'oyasini qo'llab-quvvatlaymiz, ammo tijorat versiyasining "qaroqchilik" bilan bog'liq mumkin bo'lgan muammolar tufayli buni amalga oshira olmaymiz, ammo bu kamchilikni qoplash uchun biz imzo to'plamining mazmunini to'liq ochib beramiz. Biz maxfiylikni qadrlaymiz va buni proksi-server yordamida o‘zingiz tekshirishingizni tavsiya qilamiz.
Nemesida WAF Free xususiyatlari:
- minimal miqdordagi noto'g'ri musbat va noto'g'ri salbiy bilan yuqori sifatli imzo ma'lumotlar bazasi.
- ombordan o'rnatish va yangilash (bu tez va qulay);
- hodisalar haqida oddiy va tushunarli voqealar, va NAXSI kabi "tartibsizlik" emas;
- butunlay bepul, trafik miqdori, virtual xostlar va boshqalar bo'yicha cheklovlar yo'q.
Xulosa qilib aytganda, men WAF ishlashini baholash uchun bir nechta so'rovlarni beraman (uni har bir zonada ishlatish tavsiya etiladi: URL, ARGS, Sarlavhalar va Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Agar so'rovlar bloklanmagan bo'lsa, ehtimol WAF haqiqiy hujumni o'tkazib yuboradi. Misollarni ishlatishdan oldin, WAF qonuniy so'rovlarni bloklamasligiga ishonch hosil qiling.
Manba: www.habr.com