去年,我們發布了 Nemesida WAF Free,這是 NGINX 的動態模組,可以阻止對 Web 應用程式的攻擊。 與基於機器學習的商業版本不同,免費版本僅使用簽名方法來分析請求。
Nemesida WAF 4.0.129 發布的特點
在目前版本之前,Nemesida WAF 動態模組僅支援 Nginx Stable 1.12、1.14 和 1.16。 新版本從 1.17 開始增加了對 Nginx Mainline 的支持,從 1.15.10 (R18) 開始增加了對 Nginx Plus 的支援。
為什麼要再製作一個 WAF?
NAXSI 和 mod_security 可能是最受歡迎的免費 WAF 模組,mod_security 是 Nginx 積極推廣的,儘管最初它僅在 Apache2 中使用。 這兩種解決方案都是免費、開源的,並且在全球擁有眾多用戶。 對於 mod_security,免費和商業簽名集每年收費 500 美元,對於 NAXSI,有一組開箱即用的免費簽名,您還可以找到其他規則集,例如 doxsi。
今年我們測試了NAXSI和Nemesida WAF Free的運作。 簡單介紹一下結果:
- NAXSI 不會在 cookie 中進行雙重 URL 解碼
- NAXSI 需要很長時間來配置 - 預設情況下,預設規則設定將阻止使用 Web 應用程式時的大多數請求(授權、編輯設定檔或材料、參與調查等),並且有必要產生例外列表,這對安全性有不好的影響。 使用預設設定的 Nemesida WAF Free 在使用該網站時未出現任何誤報。
- NAXSI 的錯過攻擊次數要高出許多倍,等等。
儘管有缺點,NAXSI 和 mod_security 至少有兩個優點——開源和大量用戶。 我們支持公開原始碼的想法,但由於商業版本可能存在「盜版」問題,我們目前還不能這樣做,但為了彌補這一缺陷,我們正在完全公開簽名集的內容。 我們重視隱私,建議您使用代理伺服器自行驗證。
Nemesida WAF Free 的特點:
- 假陽性和假陰性數量最少的高品質特徵資料庫。
- 從存儲庫安裝和更新(快速且方便);
- 關於事件的簡單易懂的事件,而不是像NAXSI那樣的「混亂」;
- 完全免費,沒有流量、虛擬主機等限制。
總之,我將給出幾個查詢來評估 WAF 的效能(建議在每個區域中使用它:URL、ARGS、Headers 和 Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
cat /etc/passwd
cat$u+/etc$u/passwd$u
<svg/onload=alert()//
如果請求沒有被阻止,那麼 WAF 很可能會錯過真正的攻擊。 在使用範例之前,請確保 WAF 沒有阻止合法請求。
來源: www.habr.com