Argomento della tesi di laurea - mod_security

È probabile che si guardi alla creazione o all'applicazione di analisi avanzate alle attività delle applicazioni Web per profilare gli utenti allo scopo di identificare potenziali attività scorrette. Costruire su ciò che ModSecurity produce e testare algoritmi / modelli che rendono più facile per un team delle operazioni di sicurezza capire rapidamente quale attività un determinato utente sta facendo e perché potrebbe essere ostile (parlando oltre la semplice segnalazione di eventi atomici semplici).

Fai una ricerca amazzonica per "sicurezza dell'apprendimento automatico" o "sicurezza del data mining" e trova libri, ad esempio, come Tecniche statistiche per la sicurezza delle reti: Rilevamento e protezione delle intrusioni su base statica moderna link e scopri quali tecniche descritte in quei libri possono far progredire la sicurezza delle applicazioni web. Sembra esserci un modo quasi infinito per combinare algoritmi - la tua ricerca potrebbe portare a nuovi modi per combinare algoritmi esistenti per produrre risultati migliori.

La lettura del post di blog di Robert Hansen su forensics di log web può generare idee aggiuntive: link

Se non lo hai già visto, il Progetto OWASP Modsecurity Core Ruleset , ha alcuni interessanti lavoro svolto su Modsecurity.

Forse, invece di guardare solo ciò che fa e ciò che impedisce, considera di dare un'occhiata a ciò che non fa, e cosa non può prevenire. < br> Da quel punto, potresti considerare di considerare genericamente tutti i firewall delle applicazioni web e cosa è possibile (e cosa non lo è) di bloccare usando le tecnologie attuali, magari suddivise in base alle diverse classi di motori.
Per esempio. ModSecurity è puramente sintattico, al contrario di ad es. Imperva che è comportamentale (o almeno afferma di esserlo). Ogni tipo di motore può ipoteticamente rilevare e bloccare diversi tipi di attacchi. E, è completamente impotente nei confronti degli altri.

La mia risposta è in linea con AviD: cosa sarebbe interessante (almeno per me: D) è mostrare se mod_security ha qualche valore aggiunto quando l'exploit reale non è un parametro di input ma piuttosto immesso attraverso un file. Ad esempio un file txt che contiene javascript dannoso. I browser IE (alcune versioni) tentano di eseguirlo indipendentemente dalla specifica che si tratta di un file txt mentre controlla il MIME. Quindi direi considerare questo come un'opzione, perché no!

Inizia leggendo la letteratura accademica in quest'area, per capire il lavoro svolto fino a quel momento e dove si trova lo stato dell'arte. Potresti iniziare osservando gli atti di RAID, DIMVA e Usenix Security per trovare documenti che sembrano rilevanti per il tuo interesse. Leggi quei documenti, i documenti che citano (se sembrano pertinenti) e quelli che li citano (se sembrano rilevanti, Google Scholar e Citeseer sono tuoi amici, per aiutarti a trovare ciò che cita cosa). Questo dovrebbe darti un buon senso per dove sono le lacune nello stato dell'arte.

Inoltre, ti consiglio di parlarne con il tuo consulente di ricerca. È compito del tuo consulente aiutarti a selezionare il progetto di un master che farà avanzare lo stato dell'arte e che si trova nella tua area di interesse.