我们正在寻找 ModSecurity (mod_security) 的一些附加规则 - 有 2 个商业选项,要么 GotRoot,要么来自 TrustWave 的新规则
http://www.gotroot.com/mod_security+rules
https://www.trustwave.com/modsecurity-rules-support.php
我听说过 TrustWave,但没有听说过 GotRoot。然而,GotRoot 规则似乎在 Google 等方面有更多提及 - TrustWave 的规则似乎仅在大约一个月前出现
我们将使用它们来保护电子商务网站
最佳答案
我是 Trustwave SpiderLabs 研究团队的 ModSecurity 项目负责人。当比较两个规则集并询问哪个“更好”时,这将取决于您的应用程序设置和所需的安全需求。您提到这是一个电子商务网站。是否使用 osCommerce 等公共(public)软件?
Trustwave 的商业 ModSecurity 规则具有许多一般优势:
这些规则由 Trustwave SpiderLabs 研究团队创建,该团队开发了 ModSecurity 代码,从而降低了规则准确性的错误(请参阅下面有关 GotRoot 问题的数据)
SpiderLabs 研究团队根据我们的规则进行了广泛的测试和研究,以使其变得更好。请参阅我们最近的 SQL 注入(inject)挑战 - http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html
这些规则可以单独使用,也可以与 OWASP ModSecurity 核心规则集(也由同一 Trustwave SpiderLabs 研究团队管理)集成使用。这样可以实现部署的灵 active ,并且还可以提高准确性,因为可以对攻击有效负载进行协作检测。最终结果是漏报(遗漏攻击)的可能性较低。
Trustwave 规则可以使用攻击类型或应用程序类型方法来应用。例如,如果您正在运行 osCommerce 站点,我们有一个打包的规则集,其中包含仅适用于该特定应用程序的虚拟补丁。此方法的好处是您只需激活适用于您的环境的规则,而不是运行数百或数千个不需要的规则。这种方法的另一个好处是,它将减少请求的处理时间/延迟。
Trustwave 虚拟补丁还包括元数据,其中包含指向第 3 方漏洞数据(例如 OSVDB)的 http 链接。
至于 GotRoot 规则本身,我在审查其公开延迟规则后发现存在许多准确性问题,如果出现误报问题,可能会导致这些问题。主要问题在于变换函数的使用不当。转换函数(例如 t:base64Decode)用于在应用运算符之前对数据进行标准化。有许多 GotRoot 规则应用了不正确的转换函数,即使存在恶意数据,这些转换函数也会以运算符(operator)永远不会匹配的方式更改数据。这表明这些尚未经过准确性测试。
希望这些信息有帮助。
关于apache - ModSecurity规则: Which are better - GotRoot or TrustWave?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8181052/