Перейти к содержанию

naxsi: Модуль NGINX против XSS и SQL-инъекций

Установка на Debian/Ubuntu

Эти документы относятся к APT пакету nginx-module-naxsi, предоставленному репозиторием GetPageSpeed Extras.

  1. Настройте APT репозиторий, как описано в настройке APT репозитория.
  2. Установите модуль:
sudo apt-get update
sudo apt-get install nginx-module-naxsi
Показать дистрибутивы и архитектуры 
| Дистрибутив | Версия           | Компонент  | Архитектуры    |
|-------------|-------------------|------------|-----------------|
| debian      | bookworm          | main       | amd64, arm64    |
| debian      | bookworm-mainline | main       | amd64, arm64    |
| debian      | trixie            | main       | amd64, arm64    |
| debian      | trixie-mainline   | main       | amd64, arm64    |
| ubuntu      | focal             | main       | amd64, arm64    |
| ubuntu      | focal-mainline    | main       | amd64, arm64    |
| ubuntu      | jammy             | main       | amd64, arm64    |
| ubuntu      | jammy-mainline    | main       | amd64, arm64    |
| ubuntu      | noble             | main       | amd64, arm64    |
| ubuntu      | noble-mainline    | main       | amd64, arm64    |

naxsi

Что такое Naxsi?

NAXSI означает Nginx против XSS и SQL-инъекций.

С технической точки зрения, это модуль третьей стороны для nginx, доступный в виде пакета для множества UNIX-подобных платформ. Этот модуль, по умолчанию, читает небольшой подмножество простых (и читаемых) правил, содержащих 99% известных шаблонов, связанных с уязвимостями веб-сайтов. Например, <, | или drop не должны быть частью URI.

Будучи очень простыми, эти шаблоны могут совпадать с законными запросами, и задача администратора Naxsi — добавлять конкретные правила, которые будут разрешать законное поведение. Администратор может либо добавлять белые списки вручную, анализируя журналы ошибок nginx, либо (рекомендуется) начать проект с интенсивной фазы автообучения, которая автоматически создаст правила белого списка в зависимости от поведения веб-сайта.

Кратко говоря, Naxsi ведет себя как брандмауэр с автоматическим отказом, единственная задача — добавить необходимые правила ACCEPT, чтобы целевой веб-сайт работал должным образом.

Почему это другой?

В отличие от большинства веб-приложений брандмауэров, Naxsi не полагается на базу сигнатур, как антивирус, и, следовательно, не может быть обойден шаблоном "неизвестной" атаки. Naxsi — это Свободное программное обеспечение (в плане свободы) и бесплатное (в смысле бесплатного пива) в использовании.

На чем это работает?

Naxsi должен быть совместим с любой версией nginx.

Он зависит от libpcre для поддержки regexp и, как сообщается, отлично работает на NetBSD, FreeBSD, OpenBSD, Debian, Ubuntu и CentOS.

Почему стоит использовать этот репозиторий

Оригинальный проект (неофициально) заброшен, но вы можете полностью обратиться за поддержкой здесь, так как я готов поддерживать проект как последний оставшийся разработчик.

Документация

документация

Поддержка

Вы можете запросить поддержку по NAXSI здесь или в оригинальном репозитории https://github.com/nbs-system/naxsi

Будущие планы

  • Возвращение nxapi через py3
  • Создание простого инструмента для создания правил и их тестирования