Tema principal de tesis - mod_security

Tal vez piense en crear o aplicar analíticas avanzadas a la actividad de las aplicaciones web para perfilar a los usuarios con el fin de identificar posibles malas actividades. Desarrolle sobre los resultados de ModSecurity y los algoritmos / modelos de prueba que facilitan que un equipo de operaciones de seguridad entienda rápidamente qué actividad está realizando un usuario en particular y por qué puede ser hostil (hablando más allá de informar eventos atómicos simples).

Realice una búsqueda sorprendente de "seguridad de aprendizaje automático" o "seguridad de minería de datos" y busque libros, por ejemplo, como Técnicas estadísticas para la seguridad de redes: detección y protección modernas de intrusiones con base estadística enlace e investigue qué técnicas descritas en esos libros pueden mejorar la seguridad de las aplicaciones web. Parece que hay una forma casi infinita de mezclar y combinar algoritmos: su investigación podría dar como resultado nuevas formas de combinar los algoritmos existentes para producir mejores resultados.

La lectura de la entrada del blog de Robert Hansen en el registro forense de registros web puede generar ideas adicionales: enlace

Si no lo has visto ya, el OWASP Modsecurity Core Ruleset Project , tiene algunos interesantes trabajo que se está haciendo en Modsecurity.

Tal vez, en lugar de solo mirar lo que hace y lo que impide, considere echar un vistazo a lo que no hace , y lo que no puede evitar. < br> A partir de ese momento, es posible que desee considerar la posibilidad de considerar genéricamente todos los firewalls de aplicaciones web, y qué es posible (y qué no es) bloquear usando las tecnologías actuales, tal vez desglosadas según las diferentes clases de motores. P.ej. ModSecurity es puramente sintáctico, a diferencia de, por ejemplo, Imperva que es de comportamiento (o al menos pretende serlo). Cada tipo de motor podría hipotéticamente detectar y bloquear diferentes tipos de ataques. Y, es completamente impotente en lo que respecta a los demás.

Mi respuesta va en línea con AviD: lo que sería interesante (al menos para mí: D) es mostrar si mod_security tiene algún valor agregado cuando el exploit real no es como un parámetro de entrada sino que se ingresa a través de un archivo. Por ejemplo, un archivo txt que contiene javascript malicioso. Los navegadores IE (ciertas versiones) intentan ejecutarlo independientemente de la especificación de que es un archivo txt mientras comprueba el MIME. Así que diría que consideren esto como una opción, ¿por qué no?

Comience leyendo la literatura académica en esta área, para comprender el trabajo que se ha realizado hasta ahora y dónde se encuentra el estado del arte. Puede comenzar revisando los procedimientos de RAID, DIMVA y Usenix Security para encontrar documentos que parezcan relevantes para su interés. Lea esos documentos, los documentos que citan (si suenan relevantes) y los documentos que los citan (si suenan relevantes; Google Scholar y Citeseer son sus amigos, para ayudarlo a encontrar lo que cita qué). Eso debería darle una buena idea de dónde están las brechas en el estado del arte.

También le recomiendo que hable sobre esto con su asesor de investigación. Es el trabajo de su asesor ayudarlo a seleccionar un proyecto de maestría que avance en el estado de la técnica y que se encuentre en su área de interés general.