Потому, что уязвимость в Spring Framework, но для эксплуатации требуется, чтобы приложение работало на Tomcat. При этом они не исключают, что можно выполнить эксплуатацию и без запуска под Tomcat:
The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.
Используем ML в Nemesida WAF для выявления атак - по сравнению с сигнатурным анализом снизили до 0.01% ложные срабатывания, повысили до 99.99% точность выявления. Технические подробности можно почитать здесь:
Да, вы как-то зацепились за недостаток настройки почтового сервера, но с этим никто не спорил. Ну не через почту, как-то по другому пользователь получит эту ссылку, не все каналы получится контролировать. В нашем случае почта настроена так, что скомпрометированной учетной записью нельзя будет воспользоваться за периметром корп. сети, но у многих smtp/imap/wui может торчать наружу.
В общем, почта в данном примере — один из каналов, а суть статьи — в тех. разборе техники фишинга и веб-сервере, с которым будет взаимодействовать жертва. Ну и, конечно, еще раз напомнить потенциальным жертвам, что не нужно поддаваться панике и кликать на первое любезно предложенное атакующим решение (на второе тоже не нужно), а сомнительные письма лучше показать админам или безопасникам. Про настройку stmpd все по делу написали.
Т.е. пользователь, который переходит на сомнительный сайт (сам факт перехода на сторонний сомнительный ресурс) и пытается авторизоваться (от кого бы письмо не пришло), не главное из зол?
Хорошая и полезная памятка, но и она не гарантирует абсолютной защиты. В этом абзаце мы с юмором подошли к вопросу о том, что универсального способа защиты от подобного рода уязвимостей не существует. Это подтверждается OWASP Top 10, где инъекции до сих пор находятся на позиции А1. Программисты, разрабатывая веб-приложения, могут использовать потенциально небезопасный сторонний код или модули. Поэтому дополнительно необходимо проводить регулярный аудит веб-приложения и использовать средства защиты, например, WAF. Последние, кстати, довольно хорошо себя показывают, когда дело доходит до защиты веб-приложений от подобного рода атак.
нет, это бесплатная версия коммерческого проекта
основное различие — в полноценной версии есть модуль машинного обучения, сканер уязвимости и т.д., но бесплатная версия (только сигнатуры) довольно эффективна при нецелевых атаках + события отображаются в личном кабинете (включая информацию об источнике атаки)
> получил по YOUR_SERVER/nwaftest ошибку 403
это нормальное поведение, nwaftest является тестовой сигнатурой, вхождение которой должно приводить к блокированию запроса (ее можно отключить)
> и в добавок по все остальным URL сайта тоже… Из коробки не работает?
из коробки — работает, чтобы определить причину 403 ответа, пришлите содержание error.log
Особенности (из основных):
— использование классических алгоритмов ML (https://waf.pentestit.ru/about/4578), то есть обучение можно выполнять на обычных CPU (в отл. от нейронных сетей) + скорость обработки выше (критично для работы в режиме IPS)
— выявление распределенных атак методом перебора (подбор логинов, паролей и тд)
По поводу БД — для разных целей используются разные БД, например: для сбора трафика для обучения мы используем SQLite как простой и легкий инструмент (данные собираются 3 дня, после чего происходит обучение); для хранения информация по атакам/результатам сканирования и тд используем PostgreSQL
Но статья о бесплатной версии (в ней нет маш. обучения, но она достаточно эффективна для нецелевых или не сложных атак — большая часть атак), и особенность новой версии — возможность передавать информацию на API, хранить в БД и выводить в ЛК
что-то одноглазых среди ваc не видно)
Напишите, пожалуйста, на info@nemesida-waf.ru с той почты, которую указывали в форме заявки, будем разбираться
Спасибо, что обратили внимание, проводились тех. работы
Потому, что уязвимость в Spring Framework, но для эксплуатации требуется, чтобы приложение работало на Tomcat. При этом они не исключают, что можно выполнить эксплуатацию и без запуска под Tomcat:
The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.
И пылесос с ИИ, который лучше сосет. Как и написали, готовы показывать эти цифры на боевом трафике.
Nemesida WAF / Nemesida WAF Free - отечественный WAF, за который не стыдно!
Спасибо, free-версия постоянной связи не требует
Используем ML в Nemesida WAF для выявления атак - по сравнению с сигнатурным анализом снизили до 0.01% ложные срабатывания, повысили до 99.99% точность выявления. Технические подробности можно почитать здесь:
Я твой WAF payload шатал (https://habr.com/ru/company/pentestit/blog/540188/)
Машинное обучение vs сигнатурный анализ при обнаружении атак на веб-приложение (https://habr.com/ru/company/pentestit/blog/427577/)
Принцип применения ML для анализа HTTP-запросов (https://waf.pentestit.ru/about/4578)
В общем, почта в данном примере — один из каналов, а суть статьи — в тех. разборе техники фишинга и веб-сервере, с которым будет взаимодействовать жертва. Ну и, конечно, еще раз напомнить потенциальным жертвам, что не нужно поддаваться панике и кликать на первое любезно предложенное атакующим решение (на второе тоже не нужно), а сомнительные письма лучше показать админам или безопасникам. Про настройку stmpd все по делу написали.
основное различие — в полноценной версии есть модуль машинного обучения, сканер уязвимости и т.д., но бесплатная версия (только сигнатуры) довольно эффективна при нецелевых атаках + события отображаются в личном кабинете (включая информацию об источнике атаки)
больше информации по бесплатной версии здесь: habr.com/ru/post/464935
это нормальное поведение, nwaftest является тестовой сигнатурой, вхождение которой должно приводить к блокированию запроса (ее можно отключить)
> и в добавок по все остальным URL сайта тоже… Из коробки не работает?
из коробки — работает, чтобы определить причину 403 ответа, пришлите содержание error.log
— использование классических алгоритмов ML (https://waf.pentestit.ru/about/4578), то есть обучение можно выполнять на обычных CPU (в отл. от нейронных сетей) + скорость обработки выше (критично для работы в режиме IPS)
— выявление распределенных атак методом перебора (подбор логинов, паролей и тд)
По поводу БД — для разных целей используются разные БД, например: для сбора трафика для обучения мы используем SQLite как простой и легкий инструмент (данные собираются 3 дня, после чего происходит обучение); для хранения информация по атакам/результатам сканирования и тд используем PostgreSQL
Но статья о бесплатной версии (в ней нет маш. обучения, но она достаточно эффективна для нецелевых или не сложных атак — большая часть атак), и особенность новой версии — возможность передавать информацию на API, хранить в БД и выводить в ЛК