Ni ọdun to kọja a ṣe idasilẹ Nemesida WAF Ọfẹ, module ti o ni agbara fun NGINX ti o ṣe idiwọ ikọlu lori awọn ohun elo wẹẹbu. Ko dabi ẹya ti iṣowo, eyiti o da lori ikẹkọ ẹrọ, ẹya ọfẹ ṣe itupalẹ awọn ibeere nikan ni lilo ọna ibuwọlu.
Awọn ẹya ara ẹrọ ti awọn Tu ti Nemesida WAF 4.0.129
Ṣaaju itusilẹ lọwọlọwọ, module agbara Nemesida WAF ṣe atilẹyin Nginx Stable 1.12, 1.14 ati 1.16 nikan. Itusilẹ tuntun ṣe afikun atilẹyin fun Nginx Mainline, ti o bẹrẹ lati 1.17, ati Nginx Plus, bẹrẹ lati 1.15.10 (R18).
Kini idi ti WAF miiran?
NAXSI ati mod_security le jẹ awọn modulu WAF ọfẹ ti o gbajumọ julọ, ati mod_security ni igbega nipasẹ Nginx, botilẹjẹpe lakoko o ti lo nikan ni Apache2. Awọn ojutu mejeeji jẹ ọfẹ, orisun ṣiṣi ati ni ọpọlọpọ awọn olumulo ni ayika agbaye. Fun mod_security, awọn eto ibuwọlu ọfẹ ati iṣowo wa fun $ 500 fun ọdun kan, fun NAXSI eto awọn ibuwọlu ọfẹ kan wa lati inu apoti, ati pe o tun le wa awọn eto afikun ti awọn ofin, bii doxsi.
Ni ọdun yii a ṣe idanwo iṣẹ ti NAXSI ati Nemesida WAF Ọfẹ. Ni ṣoki nipa awọn abajade:
- NAXSI ko ṣe iyipada URL ilọpo meji ni awọn kuki
- NAXSI gba akoko pipẹ pupọ lati tunto - nipasẹ aiyipada, awọn eto ofin aiyipada yoo di awọn ibeere pupọ julọ nigbati o n ṣiṣẹ pẹlu ohun elo wẹẹbu kan (aṣẹ, ṣiṣatunṣe profaili kan tabi ohun elo, kopa ninu awọn iwadii, ati bẹbẹ lọ) ati pe o jẹ dandan lati ṣe awọn atokọ imukuro. , eyi ti o ni ipa buburu lori aabo. Nemesida WAF Ọfẹ pẹlu awọn eto aiyipada ko ṣe idaniloju eke kan lakoko ti o n ṣiṣẹ pẹlu aaye naa.
- nọmba awọn ikọlu ti o padanu fun NAXSI ni ọpọlọpọ igba ti o ga, ati bẹbẹ lọ.
Pelu awọn ailagbara, NAXSI ati mod_security ni o kere ju awọn anfani meji - orisun ṣiṣi ati nọmba nla ti awọn olumulo. A ṣe atilẹyin imọran ti ṣiṣafihan koodu orisun, ṣugbọn a ko le ṣe eyi sibẹsibẹ nitori awọn iṣoro ti o ṣeeṣe pẹlu “afarape” ti ikede ti iṣowo, ṣugbọn lati sanpada fun aito kukuru yii, a n ṣafihan ni kikun awọn akoonu ti ṣeto ibuwọlu. A ṣe iyebíye ìpamọ́ a sì daba pé kí o ṣàrídájú èyí fúnra rẹ nípa lílo olupin aṣojú.
Awọn ẹya ti Nemesida WAF Ọfẹ:
- database Ibuwọlu didara to gaju pẹlu nọmba ti o kere ju ti Idaduro Eke ati Odi eke.
- fifi sori ẹrọ ati imudojuiwọn lati ibi ipamọ (o yara ati irọrun);
- awọn iṣẹlẹ ti o rọrun ati oye nipa awọn iṣẹlẹ, kii ṣe “idotin” bii NAXSI;
- patapata free , ni o ni ko si awọn ihamọ lori iye ti ijabọ, foju ogun, ati be be lo.
Ni ipari, Emi yoo fun ọpọlọpọ awọn ibeere lati ṣe iṣiro iṣẹ ṣiṣe ti WAF (o gba ọ niyanju lati lo ni awọn agbegbe kọọkan: URL, ARGS, Awọn akọle & Ara):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
Ti awọn ibeere naa ko ba dina, lẹhinna o ṣee ṣe julọ WAF yoo padanu ikọlu gidi naa. Ṣaaju lilo awọn apẹẹrẹ, rii daju pe WAF ko dina awọn ibeere ti o tọ.
orisun: www.habr.com