O pessoal que cuida do desenvolvimento e suporte do modsecurity, waf (web application firewall) opensource mais utilizado pela galera, esperou a Defcon para anunciar a portabilidade para o IIS e para o Nginx. É isso mesmo, o Modsecurity agora roda em outros web/http server – bem que há quem diga que o IIS é um application server.

Essa foi uma excelente notícia para quem trabalha suportando web servers e não tinha muitas opções de waf para seus ambientes. Tiro como exceção o Nginx, já que ele possui o NAXSI e ele foi superior ao modsecurity em alguns testes realizados. Mais infos no seguinte link — a, eu já ia me esquecendo. foi desenvolvida uma ferramenta pelo pessoal que cuida do NAXSI que ajuda a portar as regras do modsecurity para ele, o NAXSI – interessante viu.

Agora o que adianta ter instalado o modesecurity sem regras ? Nada né. Então vocês acabaram de descobrir um pequenino problema. Cadê as regras para o IIS ? São poucos as regras que foram liberadas, de graça, para o web server do tio BILL pela galera do modsecurity e da OWASP.

Um outro detalhe é que a versão que foi portada para o Nginx é o ISS está em Release Candidate, quer dizer, ainda há bugs. Então vale a pena esperar mais um pouco para que tenhamos uma versão mais estável, final, mas como sei que muitos de vocês são iguais a mim, gostam de baixar e testar, mandem bala e cometem por aqui.

P.S.: Kudus aos brasileiros que ajudaram e suportam o projeto — os caras mandaram muito bem, só espero que a Locaweb migre e instale logo em seu ambiente 🙂

Compartilhar:

Este post tem 4 comentários

  1. Bom, agora vou poder substituir o Webknight WAF dos IIS aqui, mas não tão cedo infelizmente.

  2. Então eu estou fazendo o meu TCC sobre Teste de penetração em Web Servers Apache , e umas das ferramentas que eu irei usar é o ModSecurity ( Muito poderoso ) , se alguém tiver algum referencial de como proceder com TCC , eu agradeço.

    edson.junior14@fatec.sp.gov.br

  3. Cara , o duro é instalar o modsecurity com varnish e wordpress , estou tentando aqui…

  4. Edson, posso dizer para vc que não é complicado e para sua sorte, há uma série de tutoriais bem bacanas na WEb, inclusive, há alguns aqui no blog..

Deixe uma resposta

Fechar Menu