El año pasado, lanzamos
Nemesida WAF Free , un módulo dinámico para NGINX que bloquea los ataques a las aplicaciones web. A diferencia de la versión comercial basada en el aprendizaje automático, la versión gratuita solo analiza las solicitudes utilizando el método de firma.
Características del lanzamiento de Nemesida WAF 4.0.129
Antes de la versión actual, el módulo dinámico Nemesida WAF solo admitía Nginx Stable 1.12, 1.14 y 1.16. La nueva versión agrega soporte para Nginx Mainline, a partir de 1.17, y Nginx Plus, a partir de 1.15.10 (R18).
¿Por qué hacer otro WAF?
NAXSI y mod_security son probablemente los módulos WAF gratuitos más populares, y mod_security es promovido activamente por Nginx, aunque, inicialmente, solo se usaba en Apache2. Ambas soluciones son gratuitas, de código abierto y muchos usuarios en todo el mundo. Para mod_security, gratuito y comercial, por $ 500 al año, los conjuntos de firmas están disponibles, para NAXSI: un conjunto gratuito de firmas listas para usar, también puede encontrar conjuntos de reglas adicionales como doxsi.
Este año
comparamos el rendimiento de NAXSI y Nemesida WAF Free. Brevemente sobre los resultados:
- NAXSI no ejecuta decodificación de URL doble en cookie
- NAXSI tarda mucho tiempo en configurarse: de forma predeterminada, la configuración predeterminada de las reglas bloqueará la mayoría de las llamadas cuando se trabaja con una aplicación web (autorización, edición de un perfil o material, participación en encuestas, etc.) y es necesario generar listas de excepciones, lo que es malo para la seguridad. Nemesida WAF Free con la configuración predeterminada no realizó ningún falso positivo mientras trabajaba con el sitio.
- El número de ataques perdidos por NAXSI es muchas veces mayor, etc.
A pesar de las desventajas, NAXSI y mod_security tienen al menos dos ventajas: código abierto y una gran cantidad de usuarios. Apoyamos la idea de divulgar el código fuente, pero hasta ahora no podemos hacerlo debido a posibles problemas con la "piratería" de la versión comercial, pero para compensar este inconveniente, divulgamos completamente el contenido del conjunto de firmas. Valoramos la privacidad y ofrecemos verificar esto usted mismo utilizando un servidor proxy.
Función gratuita de Nemesida WAF:
- Base de datos de firmas de alta calidad con un mínimo de falso positivo y falso negativo.
- instalación y actualización desde el repositorio (esto es rápido y conveniente);
- eventos simples y comprensibles sobre incidentes, no un desastre, como NAXSI;
- completamente gratis, no tiene restricciones en la cantidad de tráfico, hosts virtuales, etc.
En conclusión, haré algunas consultas para evaluar el rendimiento de WAF (se recomienda usar en cada una de las zonas: URL, ARGS, encabezados y cuerpo):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
c\a\t \/\e\t\c/\p\a\s\sw\d
cat$u+/etc$u/passwd$u
<svg/onload=alert()//Si las solicitudes no están bloqueadas, lo más probable es que WAF también pierda un ataque real. Antes de usar los ejemplos, asegúrese de que WAF no bloquee las solicitudes legítimas.