O pessoal da Trustwave liberou a nova versão do modSecurity – WAF ou módulo de segurança para o Apache, que queira ou não queira, é o mais utilizado pela galera de Web e que ama o open source world.

Essa nova release corrigi alguns bugs. Vamos a eles:

  • Fixed Perl Compatible Regular Expressions (PCRE) mismtach version warning message (Thanks Victor Julien).
  • Fixed explicit target replacement using SecUpdateTargetById was broken.
  • The ctl:ruleUpdateTargetById is deprecated and will be removed for future versions since there is no safe way to use it per-request.
  • Added ctl:ruleRemoveTargetById that can be used to exclude targets to be processed per-request.

Duas coisas importantes:

1 – O pessoal, time de desenvolvimento da trustwave e alguns voluntários, está desenvolvendo/portando o mod-security para o Nginx, e já era a hora né ?! O Nginx já passou o IIS quanto a quantidade de web servers rodando por aí. Bem que os números da netcraft são duvidosos. A culpa não é deles, mas sim que a galera inclui em seu hardening o tipo e versão do web server. Mais do que certo.

2 – Não dá para só trabalhar com as regras gratuitas disponilizadas pela OWASP. Você acaba comprando as regras da atomic linux ou da Trustwave para ter um pouco mais de segurança. Elas não são caras, US$ 200.00 ano, cada uma e por servidor.

O lance é baixar essa nova release e ver como ela se comporta no Apache. Well, eu até agora só testei o modsecurity no Apache 2.2.22, nada ainda no 2.4.2 — alguém já fez isso ?

P.S.: Caso vc deseje mais informações sobre o modsecurity, dê uma olhada nos dois livros que estão disponíveis para consulta no Wowebook. Um é do próprio criador do produto e o outro, publicado pela editora Packt Publishing, fala da versão 2.5, mas vale a pena.

Compartilhar:

Este post tem um comentário

  1. Portaram ele para IIS também…. Vejam só…

Deixe uma resposta

Fechar Menu