Тысячи веб-сайтов ежедневно подвергаются успешным атакам мошенников из-за неправильной настройки или уязвимостей в коде. Web Application Firewall (WAF) – это один из лучших способов защитить свой сайт от существующих угроз.
Если сайт доступен для поиска в интернете, то владелец может использовать онлайн-инструменты для сканирования ресурса на наличие уязвимостей, чтобы получить полное представление о том, насколько он защищен.
Коммерческий WAF может стоить немало, и если человек находится в поисках бесплатного решения для обеспечения защиты своего веб-сайта, то следующий список Open Source Web Application Firewall может ему пригодиться.
ModSecurity
ModSecurity, разработанный TrustWave, представляет собой один из самых популярных межсетевых экранов для веб-приложений, который поддерживает Apache HTTP, Microsoft IIS и Nginx.
Бесплатные функции ModSecurity будут полезны для пользователя, если он желает получить защиту от следующих угроз:
- Межсайтовый скриптинг
- Трояны
- Утечка информации
- SQL-инъекция
- Распространенные веб-атаки
- Вредоносная активность
В ModSecurity нет графического интерфейса, и если пользователю он нужен, можно подумать о WAF-FLE. Он позволяет хранить, производить поиск и просматривать события.
NAXSI
NAXSI – это инъекция nginx Anti-XSS & SQL. Как можно уже догадаться, данный вариант подойдет только для веб-сервера Nginx, в основном – он предназначен для защиты от межсайтового скриптинга и атак типа SQL-инъекций.
Фильтр NAXSI способен принять и отправлять запросы, а конфигурация защиты будет действовать по умолчанию, как межсетевой экран DROP-by-default. Пользователю следует добавить правило ACCEPT, чтобы все работало верно.
WebKnight
WebKnight WAF подходит для Microsoft IIS. Это фильтр ISAPI, который защищает веб-сервер, блокируя вредоносные запросы. WebKnight обеспечивает безопасность и противодействует следующим мошенническим действиям:
- Переполнение буфера
- Атака Directory traversal
- Кодирование символов
- SQL-инъекция
- Блокировка Bad robots
- Хотлинкинг
- Лобовая атака
В конфигурации по умолчанию регистрируются все заблокированные запросы, пользователь может настроить данный параметр в соответствии с его потребностями. В WebKnight версии 3.0 есть веб-интерфейс администратора, где человек способен выполнять задачи администрирования, включая сбор статистических данных.
Shadow Daemon
Shadow Daemon обнаруживает, записывает и предотвращает веб-атаки путем фильтрации запросов. Он имеет собственный интерфейс, где человек может заниматься администрированием и управлением WAF. Поддерживает PHP, Perl и Python.
Shadow Daemon способен обнаружить следующие атаки:
- SQL-инъекция
- Инъекция XML
- Инъекция кода
- Инъекция команд
- Межсайтовый скриптинг
- Бэкдор доступ
- Локальная / удаленная инклюзия файлов
Большинство приложений Open Source являются бесплатными, но пользователь не получает постоянной поддержки и будет вынужден полагаться на свой опыт и помощь сообщества. Среди коммерческих WAF выделяют:
- Cloudflare (облачный сервис)
- Incapsula (облачный сервис)
- F5 ASM
- Коммерческие правила TrustWave ModSecurity
- SUCURI (облачный сервис)
Автор переведенной статьи: Chandan Kumar