去年,我们发布了
Nemesida WAF Free ,这是NGINX的动态模块,可以阻止对Web应用程序的攻击。 与基于机器学习的商业版本不同,免费版本仅使用签名方法来分析请求。
Nemesida WAF 4.0.129版本的功能
在当前版本之前,Nemesida WAF动态模块仅支持Nginx Stable 1.12、1.14和1.16。 新版本从1.17开始增加了对Nginx Mainline的支持,从1.15.10(R18)开始增加了对Nginx Plus的支持。
为什么还要使用另一个WAF?
NAXSI和mod_security可能是最受欢迎的免费WAF模块,而Nginx积极推广mod_security,尽管最初它仅在Apache2中使用。 两种解决方案都是免费的,开源的,并且在世界范围内都有许多用户。 对于mod_security(免费和商业版),每年需要500美元,可以使用签名集;对于NAXSI,也可以使用免费的签名集,也可以找到其他规则集,例如doxsi。
今年,我们
比较了 NAXSI和Nemesida WAF Free
的性能。 简要介绍一下结果:
- NAXSI不执行Cookie中的双URL解码
- NAXSI需要花费很长时间进行配置-默认情况下,默认规则设置将在使用Web应用程序时阻止大多数调用(授权,编辑配置文件或材料,参加民意调查等),并且有必要生成例外列表,这对安全性不利。 使用默认设置的Nemesida WAF Free在使用该网站时未执行任何误报。
- NAXSI错过的攻击次数要高很多倍,依此类推。
尽管有缺点,NAXSI和mod_security至少具有两个优点-开源和大量用户。 我们支持公开源代码的想法,但是到目前为止,由于商业版本的“盗版”可能存在问题,我们无法做到这一点,但是为了弥补这一缺陷,我们完全公开了签名集的内容。 我们重视隐私,并愿意使用代理服务器自行验证。
Nemesida WAF免费功能:
- 高质量的签名数据库,且假阳性和假阴性最少。
- 从存储库安装和更新(这是快速且方便的);
- NAXSI之类的关于事件的简单易懂的事件,而不是一团糟;
- 完全免费,对流量,虚拟主机等没有任何限制。
最后,我将提出一些查询来评估WAF的性能(建议在以下每个区域中使用:URL,ARGS,页眉和正文):
')) un","ion se","lect 1,2,3,4,5,6,7,8,9,0,11#"]
')) union/**/select/**/1,/**/2,/**/3,/**/4,/**/5,/**/6,/**/7,/**/8,/**/9,/**/'some_text',/**/11#"]
union(select(1),2,3,4,5,6,7,8,9,0x70656e746573746974,11)#"]
')) union+/*!select*/ (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
')) /*!u%6eion*/ /*!se%6cect*/ (1),(2),(3),(4),(5),(6),(7),(8),(9.),(0x70656e746573746974),(11)#"]
')) %2f**%2funion%2f**%2fselect (1),(2),(3),(4),(5),(6),(7),(8),(9),(0x70656e746573746974),(11)#"]
%5B%221807182982%27%29%29%20uni%22%2C%22on
%20sel%22%2C%22ect%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C%2some_text%27%2C11%23%22%5D
cat /et?/pa?swd
cat /et'c/pa'ss'wd
cat /et*/pa**wd
e'c'ho 'swd test pentest' |awk '{print "cat /etc/pas"$1}' |bas'h
c\a\t \/\e\t\c/\p\a\s\sw\d
cat$u+/etc$u/passwd$u
<svg/onload=alert()//如果未阻止请求,则WAF很可能还会错过一次真正的攻击。 在使用示例之前,请确保WAF不会阻止合法请求。