¿Qué tan útil es la configuración predeterminada de ModSecurity para una aplicación web genérica?

Navega tus respuestas
3

Escenario:

  • ModSecurity con una configuración "predeterminada" o "genérica" (como la que pueden proporcionar los proveedores de alojamiento compartido, por ejemplo).
  • Aplicación web genérica (personalizada, poco común o desconocida), para la cual ModSecurity no proporciona reglas específicas.

¿Qué tan útil es ModSecurity en esta situación? ¿Qué porcentaje de ataques va a prevenir? ¿Qué tipo de ataques?

Motivo para hacer esta pregunta: hay una aplicación web que, para evitar problemas con las reglas predeterminadas de ModSecurity, sugiere deshabilitarla para esta aplicación específica si está causando algún problema. No me parece un buen consejo, sin embargo, no estoy seguro de que la configuración predeterminada de ModSecurity sea realmente más útil que no tener ModSecurity (deshabilitado).

    
pregunta reed 05.10.2018 - 21:41
fuente

3 respuestas

0

TL; DR: no es realmente útil para la seguridad, y probablemente romperá la aplicación de alguna manera.

Muchas de las reglas predeterminadas de ModSecurity son el ejemplo del libro de texto de cómo no protegerse de los ataques. XSS es el mejor ejemplo: bloquean las solicitudes que parecen contener ciertas etiquetas HTML, rompiendo así cualquier sitio donde las personas intenten publicar ejemplos de código inocuos. (La forma correcta de defenderse contra XSS es escapar de los datos proporcionados por el usuario que terminan en HTML, sin tener que bloquear ningún dato directamente). El resto de sus reglas siguen patrones similares, bloqueando cosas que "parecen" peligrosas pero no lo son realmente peligroso si la aplicación está escrita correctamente y es altamente propensa a falsos positivos. Como tal, todo ModSecurity es realmente bueno para el teatro de seguridad, o marcar una casilla en la que tenga un WAF para satisfacer algunas regulaciones. No hay ningún daño real en apagarlo, y no refleja mal el software en todo lo que le indica. (Incluso MediaWiki, que impulsa a Wikipedia, le dice que lo desactive).

    
respondido por el Joseph Sible 18.10.2018 - 15:55
fuente
-1

Hemos encontrado que modSecurity es muy beneficioso, ya que produce un pequeño porcentaje de falsos positivos en nuestra experiencia.

Nuestro consejo sería utilizar el modo de puntuación de anomalía [1], hemos encontrado este enfoque más beneficioso que la puntuación tradicional.

Una consideración importante es el tipo de aplicación web (o aplicación) que está implementando. Por ejemplo, si su aplicación es muy 'text' / 'wordy', es decir, muchos campos de texto libre, la probabilidad de falsos positivos aumentará. ModSecurity con puntuación anómala trata de hacer una mejor suposición, todo se basa en expresiones regulares.

Algunas cifras de nuestra aplicación, tenemos aproximadamente 110 millones de solicitudes mensuales y obtenemos un porcentaje muy bajo de falsos positivos.

También señalaría que con modSecurity puede incluir en la lista blanca los tipos de contenido, los métodos HTTP, etc. Es más que analizar la inyección de SQL y XSS.

Ciertamente no desactivamos modSecurity.

Espero que esto ayude un poco.

[1] Anomalía de puntuación. enlace

    
respondido por el Darragh 18.10.2018 - 19:27
fuente
-2

ModSecurity mantiene solo unas pocas reglas en su configuración, por lo tanto, a menos que también esté agregando reglas de protección adecuadas, como OWASP CRS o cualquier otra regla, no es muy diferente de tenerla o no.

Me mantendría alejado de una aplicación que aconseja desactivar el WAF, si no pueden lidiar con un WAF, deberían decir que no está bajo su alcance de apoyo, pero que puede ser una cultura de la compañía, por lo que es posible que no tengan seguridad incorporada. in.

    
respondido por el Manuel Spartan 18.10.2018 - 13:46
fuente

Lea otras preguntas en las etiquetas

Recuperar códigos de acceso a través del descubrimiento forense Tor navegador requisitos adicionales de anonimato [duplicado]