Năm ngoái chúng tôi đã phát hành Nemesida WAF Free, một mô-đun động dành cho NGINX giúp chặn các cuộc tấn công vào ứng dụng web. Không giống như phiên bản thương mại dựa trên học máy, phiên bản miễn phí chỉ phân tích các yêu cầu bằng phương pháp chữ ký.
Các tính năng của việc phát hành Nemeida WAF 4.0.129
Trước bản phát hành hiện tại, mô-đun động Nemesida WAF chỉ hỗ trợ Nginx Stable 1.12, 1.14 và 1.16. Bản phát hành mới bổ sung hỗ trợ cho Nginx Mainline, bắt đầu từ 1.17 và Nginx Plus, bắt đầu từ 1.15.10 (R18).
Tại sao lại tạo một WAF khác?
NAXSI và mod_security có lẽ là các mô-đun WAF miễn phí phổ biến nhất và mod_security được Nginx tích cực quảng bá, mặc dù ban đầu nó chỉ được sử dụng trong Apache2. Cả hai giải pháp đều miễn phí, mã nguồn mở và có nhiều người dùng trên toàn thế giới. Đối với mod_security, các bộ chữ ký thương mại và miễn phí có sẵn với giá 500 USD mỗi năm, đối với NAXSI, có một bộ chữ ký miễn phí ngay lập tức và bạn cũng có thể tìm thấy các bộ quy tắc bổ sung, chẳng hạn như doxsi.
Năm nay chúng tôi đã thử nghiệm hoạt động của NAXSI và Nemeida WAF Free. Nói ngắn gọn về kết quả:
- NAXSI không giải mã URL kép trong cookie
- NAXSI mất rất nhiều thời gian để định cấu hình - theo mặc định, cài đặt quy tắc mặc định sẽ chặn hầu hết các yêu cầu khi làm việc với ứng dụng web (ủy quyền, chỉnh sửa hồ sơ hoặc tài liệu, tham gia khảo sát, v.v.) và cần phải tạo danh sách ngoại lệ , điều này ảnh hưởng xấu đến an ninh. Nemesida WAF Free với cài đặt mặc định không đưa ra bất kỳ kết quả dương tính giả nào khi làm việc với trang web.
- số lần tấn công hụt của NAXSI cao hơn gấp nhiều lần, v.v.
Bất chấp những thiếu sót, NAXSI và mod_security có ít nhất hai ưu điểm - nguồn mở và số lượng lớn người dùng. Chúng tôi ủng hộ ý tưởng tiết lộ mã nguồn, nhưng chúng tôi chưa thể thực hiện điều này do có thể xảy ra vấn đề “vi phạm bản quyền” của phiên bản thương mại, nhưng để bù đắp cho thiếu sót này, chúng tôi đang tiết lộ đầy đủ nội dung của bộ chữ ký. Chúng tôi coi trọng quyền riêng tư và khuyên bạn nên tự xác minh điều này bằng máy chủ proxy.
Các tính năng của Nemeida WAF miễn phí:
- cơ sở dữ liệu chữ ký chất lượng cao với số lượng tối thiểu Dương tính giả và Âm tính giả.
- cài đặt và cập nhật từ kho lưu trữ (nhanh chóng và thuận tiện);
- sự việc đơn giản, dễ hiểu chứ không phải “lộn xộn” như NAXSI;
- hoàn toàn miễn phí, không có hạn chế về lưu lượng truy cập, máy chủ ảo, v.v.
Để kết luận, tôi sẽ đưa ra một số truy vấn để đánh giá hiệu suất của WAF (nên sử dụng nó trong từng vùng: URL, ARGS, Headers & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Nếu các yêu cầu không bị chặn thì rất có thể WAF sẽ bỏ lỡ cuộc tấn công thực sự. Trước khi sử dụng các ví dụ, hãy đảm bảo rằng WAF không chặn các yêu cầu hợp pháp.
Nguồn: www.habr.com