Тысячи веб-сайтов взламываются каждый день из-за неверной конфигурации или уязвимого кода.
Web Application Firewall (WAF) – один из лучших способов защитить Ваш веб-сайт от сетевых угроз.
Если ваш веб-сайт доступен в интернете, вы можете использовать онлайновые инструменты, чтобы отсканировать веб-сайт на наличие уязвимостей, чтобы понять, насколько безопасен ваш веб-сайт.
Не волнуйтесь, если у вас интранет сайт, вы можете использовать сканера Nikto, также опен соурсный.
Коммерческие WAF, как правило, дорогие и если вы хотите бесплатно защитить ваш веб-сайт, используя WAF, тогда следующие решения с открытым исходным кодом могут быть вам полезными.
1. ModSecurity
ModSecurity от TrustWave – один из самых популярных брандмауэров для веб-приложений, и он поддерживает Apache HTTP, Microsoft IIS & Nginx.
Бесплатные правила ModSecurity будут полезны в том случае, если вы хотите защититься от:
• Cross-site scripting [ XSS ]
• Trojan
• Утечка информации
• SQL injection
• Общие веб-атаки
• Вредоносные действия
У ModSecurity нет графического интерфейса.
Если вы хотите вэб-интерфейс, вы можете рассмотреть использование WAF-FLE.
Оно позволит вам сохранять, искать и просматривать события в консоли.
Скриншоты программы WAF-FLE:
2. IronBee
IronBee – платформа безопасности,которая позволяет создать ваш собственный WAF.
IronBee еще не доступен в бинарном пакете, таким образом,чтобы его использовать, необходимо скомпилировать его из источника и протестирован он на следующих ОС:
• CentOS
• Fedora
• Ubuntu
• OS X
Это – очень легкая платформа безопасности.
3. NAXSI
NAXSI – Nginx Anti-XSS & SQL Injection.
Из самого названия вы можете предположить, что этот продукт только для веб-сервера Nginx, и, главным образом, предназначается для того, чтобы защитить от XSS атак и атак с использованием кода на SQL.
4. WebKnight
WebKnight WAF для Microsoft IIS.
WebKnight – фильтр ISAPI, который защищает ваш веб-сервер, блокируя запрещенные запросы.
WebKnight предназначен для обеспечения безопасности от следующих атак:
• Переполнение буфера
• Возможность обхода корневой директории
• Кодировка символов
• Инъекция SQL
• Блокирование плохих роботов
• Включение в веб-страницу
• Брутфорс
В конфигурации по умолчанию зарегистрированы все заблокированные запросы, и вы можете настроить на основе своих потребностей.
WebKnight 3.0 получил админиский веб-интерфейс, где вы можете настроить правила и выполнить задачи администрирования, включая просмотр статистики.
5. Shadow Daemon
Shadow Daemon обнаруживает, записывает и предотвращает веб-атаки, фильтруя запрос по вредоносным параметрам.
Он идет с собственным интерфейсом, где вы можете выполнить администрирование и управлять этим WAF.
Он поддерживает языки PHP, Perl & Python.
Он может обнаружить следующие атаки:
• Инъекция SQL
• Инъекция XML
• Инъекция кода
• Командная инъекция
• XSS
• Backdoor доступ
• Локальное/удаленное включение файла
Программы с открытым исходным кодом бесплатны, но вы тем самым не получаете средства поддержки и должны полагаться на свои знания и опыт или же общественную поддержку.
Если вы все таки ищете коммерческие WAF, можно обратить внимание на следующее:
CloudFlare (cloud-based)
Incapsula (cloud-based)
F5 ASM
TrustWave ModSecurity commercial rules
SUCURI (cloud-based)
Akeeba Admin tools (для Joomla)
how to connect modsecurity in ubuntu to WAF-FLE modsec console?