Tahun lalu, kami merilis
Nemesida WAF Free , modul dinamis untuk NGINX yang memblokir serangan pada aplikasi web. Berbeda dengan versi komersial berdasarkan pembelajaran mesin, versi gratis hanya menganalisis permintaan menggunakan metode tanda tangan.
Fitur dari rilis Nemesida WAF 4.0.129
Sebelum rilis saat ini, modul dinamis Nemesida WAF hanya mendukung Nginx Stable 1.12, 1.14, dan 1.16. Rilis baru ini menambah dukungan untuk Nginx Mainline, mulai dari 1.17, dan Nginx Plus, mulai dari 1.15.10 (R18).
Mengapa melakukan WAF lain?
NAXSI dan mod_security mungkin adalah modul WAF gratis paling populer, dan mod_security secara aktif dipromosikan oleh Nginx, meskipun, pada awalnya, itu hanya digunakan di Apache2. Kedua solusi ini gratis, open source, dan banyak pengguna di seluruh dunia. Untuk mod_security, gratis dan komersial, seharga $ 500 setahun, set tanda tangan tersedia, untuk NAXSI - set tanda tangan gratis di luar kotak, Anda juga dapat menemukan set aturan tambahan seperti doxsi.
Tahun ini kami
membandingkan kinerja NAXSI dan Nemesida WAF Free. Secara singkat tentang hasil:
- NAXSI tidak menjalankan decode URL ganda dalam cookie
- NAXSI membutuhkan waktu sangat lama untuk mengonfigurasi - secara default, pengaturan aturan default akan memblokir sebagian besar panggilan saat bekerja dengan aplikasi web (otorisasi, mengedit profil atau materi, berpartisipasi dalam jajak pendapat, dll.) Dan perlu untuk membuat daftar pengecualian, yang memengaruhi keamanan. Nemesida WAF Gratis dengan pengaturan standar tidak melakukan kesalahan positif saat bekerja dengan situs.
- jumlah serangan yang terlewatkan oleh NAXSI beberapa kali lebih tinggi, dll.
Terlepas dari kekurangannya, NAXSI dan mod_security memiliki setidaknya dua keunggulan - open source dan sejumlah besar pengguna. Kami mendukung gagasan pengungkapan kode sumber, tetapi sejauh ini kami tidak dapat melakukannya karena kemungkinan masalah dengan "pembajakan" versi komersial, tetapi untuk mengkompensasi kelemahan ini, kami sepenuhnya mengungkapkan isi set tanda tangan. Kami menghargai privasi dan menawarkan untuk memverifikasi ini sendiri menggunakan server proxy.
Fitur WAF Nemesida Gratis:
- database tanda tangan berkualitas tinggi dengan minimum False Positive dan False Negative.
- instalasi dan pembaruan dari repositori (ini cepat dan nyaman);
- peristiwa sederhana dan dapat dimengerti tentang insiden, bukan kekacauan, seperti NAXSI;
- sepenuhnya gratis, tidak memiliki batasan pada jumlah lalu lintas, host virtual, dll.
Sebagai kesimpulan, saya akan memberikan beberapa pertanyaan untuk mengevaluasi kinerja WAF (disarankan untuk digunakan di masing-masing zona: URL, ARGS, Header & Badan):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
c\a\t \/\e\t\c/\p\a\s\sw\d
cat$u+/etc$u/passwd$u
<svg/onload=alert()//Jika permintaan tidak diblokir, maka, kemungkinan besar, WAF juga akan kehilangan serangan nyata. Sebelum menggunakan contoh, pastikan bahwa WAF tidak memblokir permintaan yang sah.