去年,我们发布了 Nemesida WAF Free,这是 NGINX 的一个动态模块,可以阻止对 Web 应用程序的攻击。 与基于机器学习的商业版本不同,免费版本仅使用签名方法来分析请求。
Nemesida WAF 4.0.129 发布的特点
在当前版本之前,Nemesida WAF 动态模块仅支持 Nginx Stable 1.12、1.14 和 1.16。 新版本从 1.17 开始增加了对 Nginx Mainline 的支持,从 1.15.10 (R18) 开始增加了对 Nginx Plus 的支持。
为什么要再制作一个 WAF?
NAXSI 和 mod_security 可能是最流行的免费 WAF 模块,mod_security 是 Nginx 积极推广的,尽管最初它仅在 Apache2 中使用。 这两种解决方案都是免费、开源的,并且在全球拥有众多用户。 对于 mod_security,免费和商业签名集每年收费 500 美元,对于 NAXSI,有一组开箱即用的免费签名,您还可以找到其他规则集,例如 doxsi。
今年我们测试了NAXSI和Nemesida WAF Free的运行情况。 简单介绍一下结果:
- NAXSI 不会在 cookie 中进行双重 URL 解码
- NAXSI 需要很长时间来配置 - 默认情况下,默认规则设置将阻止使用 Web 应用程序时的大多数请求(授权、编辑配置文件或材料、参与调查等),并且有必要生成例外列表,这对安全性有不好的影响。 使用默认设置的 Nemesida WAF Free 在使用该站点时未出现任何误报。
- NAXSI 的错过攻击次数要高出许多倍,等等。
尽管存在缺点,NAXSI 和 mod_security 至少有两个优点——开源和大量用户。 我们支持公开源代码的想法,但由于商业版本可能存在“盗版”问题,我们目前还不能这样做,但为了弥补这一缺陷,我们正在完全公开签名集的内容。 我们重视隐私,建议您使用代理服务器自行验证。
Nemesida WAF Free 的特点:
- 假阳性和假阴性数量最少的高质量特征数据库。
- 从存储库安装和更新(快速且方便);
- 关于事件的简单易懂的事件,而不是像NAXSI那样的“混乱”;
- 完全免费,没有流量、虚拟主机等限制。
总之,我将给出几个查询来评估 WAF 的性能(建议在每个区域中使用它:URL、ARGS、Headers 和 Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
如果请求没有被阻止,那么 WAF 很可能会错过真正的攻击。 在使用示例之前,请确保 WAF 没有阻止合法请求。
来源: habr.com