في العام الماضي ، أصدرنا
Nemesida WAF Free ، وهي وحدة ديناميكية لـ NGINX تمنع الهجمات على تطبيقات الويب. بخلاف النسخة التجارية القائمة على التعلم الآلي ، تحلل النسخة المجانية فقط الطلبات باستخدام طريقة التوقيع.
ملامح الافراج عن Nemesida WAF 4.0.129
قبل الإصدار الحالي ، كانت الوحدة الديناميكية Nemesida WAF تدعم Nginx Stable 1.12 و 1.14 و 1.16 فقط. يضيف الإصدار الجديد دعمًا لـ Nginx Mainline بدءًا من 1.17 ، و Nginx Plus بدءًا من 1.15.10 (R18).
لماذا آخر WAF؟
من المحتمل أن تكون NAXSI و mod_security أكثر وحدات WAF المجانية شيوعًا ، وأن Nginx يتم الترويج لهما بنشاط من قبل Nginx ، على الرغم من أنه تم استخدامه في البداية في Apache2 فقط. كلا الحلين مجاني ومفتوح المصدر والعديد من المستخدمين في جميع أنحاء العالم. بالنسبة إلى mod_security ، المجانية والتجارية ، تتوفر مجموعات توقيع مقابل 500 دولار سنويًا لـ NAXSI - وهي مجموعة مجانية من التوقيعات من خارج الصندوق ، كما يمكنك العثور على مجموعات قواعد إضافية مثل doxsi.
هذا العام قمنا
بمقارنة أداء NAXSI و Nemesida WAF Free. باختصار عن النتائج:
- لا يقوم NAXSI بتنفيذ عملية فك ترميز عنوان URL مزدوج في ملف تعريف الارتباط
- يستغرق تكوين NAXSI وقتًا طويلاً للغاية - بشكل افتراضي ، ستحظر إعدادات القاعدة الافتراضية معظم المكالمات عند العمل مع أحد تطبيقات الويب (الترخيص أو تحرير ملف تعريف أو مادة ، والمشاركة في الاستطلاعات ، وما إلى ذلك) ومن الضروري إنشاء قوائم استثناء ، وهذا أمر سيء للأمان. Nemesida WAF Free بالإعدادات الافتراضية لم تؤدي أي إيجابيات خاطئة أثناء العمل مع الموقع.
- عدد الهجمات التي لم يرد عليها NAXSI أعلى عدة مرات ، إلخ.
على الرغم من العيوب ، فإن NAXSI و mod_security لهما ميزتان على الأقل - المصدر المفتوح وعدد كبير من المستخدمين. نحن نؤيد فكرة الكشف عن الكود المصدري ، لكن حتى الآن لا يمكننا القيام بذلك بسبب وجود مشكلات محتملة في "القرصنة" الخاصة بالنسخة التجارية ، ولكن للتعويض عن هذا العيب ، نكشف بالكامل عن محتويات مجموعة التوقيع. نحن نقدر الخصوصية ونعرض التحقق من ذلك بنفسك باستخدام خادم وكيل.
Nemesida WAF ميزة مجانية:
- قاعدة بيانات التوقيع عالية الجودة مع الحد الأدنى من الكاذبة الإيجابية والسلبية الكاذبة.
- التثبيت والتحديث من المستودع (هذا سريع وسهل) ؛
- أحداث بسيطة ومفهومة حول الحوادث ، وليس فوضى ، مثل NAXSI ؛
- مجاني تمامًا ، لا يوجد لديه قيود على عدد الزيارات والمضيفين الظاهريين ، إلخ.
في الختام ، سأقدم بعض الاستعلامات لتقييم أداء WAF (يوصى باستخدامه في كل منطقة: URL ، ARGS ، الرؤوس والجسم):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
c\a\t \/\e\t\c/\p\a\s\sw\d
cat$u+/etc$u/passwd$u
<svg/onload=alert()//إذا لم يتم حظر الطلبات ، فعلى الأرجح ، لن تفوت WAF أي هجوم حقيقي. قبل استخدام الأمثلة ، تأكد من أن WAF لا تمنع الطلبات المشروعة.