Letztes Jahr haben wir
Nemesida WAF Free veröffentlicht , ein dynamisches Modul für NGINX, das Angriffe auf Webanwendungen blockiert. Im Gegensatz zur kommerziellen Version, die auf maschinellem Lernen basiert, analysiert die kostenlose Version Anfragen nur mit der Signaturmethode.
Merkmale der Veröffentlichung von Nemesida WAF 4.0.129
Vor der aktuellen Version unterstützte das dynamische Modul Nemesida WAF nur Nginx Stable 1.12, 1.14 und 1.16. Die neue Version bietet Unterstützung für Nginx Mainline ab 1.17 und Nginx Plus ab 1.15.10 (R18).
Warum noch eine WAF?
NAXSI und mod_security sind wahrscheinlich die beliebtesten kostenlosen WAF-Module, und mod_security wird von Nginx aktiv gefördert, obwohl es ursprünglich nur in Apache2 verwendet wurde. Beide Lösungen sind kostenlos, Open Source und viele Benutzer auf der ganzen Welt. Für mod_security, kostenlos und kommerziell, sind für 500 US-Dollar pro Jahr Signatursätze verfügbar. Für NAXSI - einen kostenlosen Satz von Signaturen, die sofort verfügbar sind, finden Sie auch zusätzliche Regelsätze wie doxsi.
In diesem Jahr haben wir
die Leistung von NAXSI und Nemesida WAF Free
verglichen . Kurz zu den Ergebnissen:
- NAXSI führt keine doppelte URL-Dekodierung im Cookie aus
- Die Konfiguration von NAXSI dauert sehr lange. Standardmäßig blockieren die Standardregeleinstellungen die meisten Aufrufe bei der Arbeit mit einer Webanwendung (Autorisierung, Bearbeiten eines Profils oder Materials, Teilnahme an Umfragen usw.). Außerdem müssen Ausnahmelisten erstellt werden, was sich auf die Sicherheit auswirkt. Nemesida WAF Free mit Standardeinstellungen hat während der Arbeit mit der Site keine Fehlalarme ausgeführt.
- Die Anzahl der verpassten Angriffe von NAXSI ist um ein Vielfaches höher usw.
Trotz der Nachteile haben NAXSI und mod_security mindestens zwei Vorteile - Open Source und eine große Anzahl von Benutzern. Wir unterstützen die Idee, den Quellcode offenzulegen, können dies jedoch aufgrund möglicher Probleme mit der "Piraterie" der kommerziellen Version bisher nicht tun. Um diesen Nachteil auszugleichen, legen wir den Inhalt des Signatursatzes vollständig offen. Wir legen Wert auf Datenschutz und bieten an, dies selbst mithilfe eines Proxyservers zu überprüfen.
Nemesida WAF Kostenlose Funktion:
- Hochwertige Signaturdatenbank mit einem Minimum an False Positive und False Negative.
- Installation und Aktualisierung aus dem Repository (dies ist schnell und bequem);
- einfache und verständliche Ereignisse über Vorfälle, kein Chaos wie NAXSI;
- völlig kostenlos, hat keine Einschränkungen hinsichtlich des Verkehrsaufkommens, der virtuellen Hosts usw.
Abschließend werde ich einige Fragen stellen, um die Leistung von WAF zu bewerten (es wird empfohlen, sie in jeder der folgenden Zonen zu verwenden: URL, ARGS, Header & Body):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
c\a\t \/\e\t\c/\p\a\s\sw\d
cat$u+/etc$u/passwd$u
<svg/onload=alert()//Wenn Anfragen nicht blockiert werden, wird WAF höchstwahrscheinlich auch einen echten Angriff verpassen. Stellen Sie vor der Verwendung der Beispiele sicher, dass WAF keine legitimen Anforderungen blockiert.