Как мы отбивали xss/sql атаку с Nginx и Naxsi

[Bo0oM]

Пары часов для SQL INJ, увы, слишком много.

[maximw]

Как долго происходит процесс обучения? Ведь за это время злоумышленники успевают сделать довольно мнгого?
Как потом восстанавливаете (и восстанавливаете ли) работоспособность сайта в случае повреждения БД злоумышленниками?

[akhaustov]

Часа достаточно. Да, риск большой. Лучше, чем ничего))
Обязательно всегда ежедневно делается бэкап, что позволяет восстановить БД.

[istui]

А можно поподробнее про создание собственного репозитория? В идеале хотелось бы увидеть статью на эту тему.
При выходе обновления nginx вы пересобираете пакет вручную, или все автоматизировано?

[akhaustov]

Сделаем отдельную статью на эту тему.
Обновления стараемся автоматизировать.
Кастомные пакеты приходится обновлять вручную.

[istui]

Было бы здорово!

Потому что для RHEL/CentOS, увы, репозиториев, содержащий актуальный nginx с интересными модулями, практически нет…

[thunderspb]

Можно еще сбилдить пакет -> rpm -> puppet, например, у нас так jdk/jre живут определенных версий, да и некоторые другие сервисы.

[mobilesfinks]

Вот тут как бы репозиторий для актуального nginx есть. Да, может быть интересных модулей нет, но сам nginx актуален сейчас Stable версия 1.6.3 в этих репах.

[istui]

Мне нужен mainline с GeoIP как минимум, и рядом других модулей…

В atomic версия stable, в ней нет ряда новых функций, которые нужны и которые есть в mainline.
C CentALT непонятно что происходит…

[mobilesfinks]

По ссылке что я дал, если ниже крутануть есть раздел с репозиторием для mainline «Готовые пакеты mainline-версии»

[istui]

Спасибо!) Я про них в курсе, и использую уже давно там, где достаточно стандартного набора модулей.
А вот GeoIP, к сожалению, ни в mainline-, ни в stable-пакеты на оффсайте nginx не входит…

[lexore]

Кстати, этот плагин может быть очень полезен, если его настроить до атаки.
Включил плагин в режиме learning на недельку, сформировал свои правила и применил.
Правда, потом нужно иногда просматривать логи и актуализировать список.
А так же переводить в режим learning при выгрузке нового функционала.

[akhaustov]

Да, все верно. Вы правы.
Надо только посмотреть какую он может дать нагрузку.
Это вопрос отдельного сложного теста: нужно на высоконагруженном проекте запустить и посмотреть.

[Homakov]

XSS атака — а что, такие бывают? Я думал никто в здравом уме не будет охотиться за пользователями когда рядом SQLi.

Надеюсь вы клиенту объяснили что naxsi это подорожник, а они сами должны фиксить приложение?

[akhaustov]

Всякие бывают.
Да, клиент в курсе. Приложение пофиксил.

[openkazan]

а под Apache есть подобное ПО?

[akhaustov]

Сложно сказать. Не встречал.

[Twost]

Для апача есть WAF, называется mod_security. Такая-же недозащита как и naxsi)

[xsen]

Думаю проще и быстрее было бы определить единую точку входа для приложения, написать там несколько строчек, которые автоматически экранируют все входящие данные. Трюк конечно грязный, но универсальный, а остальное время можно было бы тратить на исправление.

[akhaustov]

Примерно этим разработчики и занимались.

[gto]

Вы меня, конечно, извините, статья сама по себе ничего, но повод мне кажется выдуманным. Слабо представляю себе человека который, зная, что у него на сайте дыра, которая активно используется, не закроет его (сайт) сразу же на техобслуживание и не придаст ускорение девам, а будет ждать пару часов, а потом должен будет доверять непонятной надсройке на nginx-е. Не встречал еще таких.

[YourChief]

Подобное притягивает подобное

[thunderspb]

В теории — да, но, кмк, данный метод позволяет «закостылить дыры», не уводя сайт в maintenance до hotfix. IMHO идея годна. Фиг его знает сколько займет создание hotfix и накладывание его. Понятно, что случаи разные бывают.