Quanto è utile la configurazione di default di ModSecurity per un'applicazione web generica?

3

Scenario:

  • ModSecurity con una configurazione "predefinita" o "generica" (come quella che potrebbe essere fornita dai provider di hosting condiviso, ad esempio).
  • Applicazione web generica (personalizzata, non comune o sconosciuta), per la quale ModSecurity non fornisce specifiche regole.

Quanto è utile ModSecurity in questa situazione? Quale percentuale di attacchi preverrà? Che tipo di attacchi?

Motivo per porre questa domanda: esiste un'applicazione web che, per evitare problemi con le regole predefinite di ModSecurity, suggerisce di disabilitarla per questa specifica applicazione se causa problemi. Questo non mi sembra un grande consiglio, tuttavia non sono sicuro che la configurazione predefinita di ModSecurity sia effettivamente molto più utile di non avere affatto ModSecurity (disabilitato).

    
posta reed 05.10.2018 - 21:41
fonte

3 risposte

0

TL; DR: non è molto utile per la sicurezza e probabilmente interromperà l'app in qualche modo.

Un sacco di regole predefinite di ModSecurity sono l'esempio da manuale di come non proteggere dagli attacchi. XSS è l'esempio migliore: bloccano richieste che sembrano contenere determinati tag HTML, interrompendo in tal modo qualsiasi sito in cui le persone tentano di pubblicare esempi di codice innocui. (Il modo corretto di difendersi da XSS è quello di sfuggire ai dati forniti dall'utente che finiscono in HTML, senza dover bloccare tutti i dati a priori.) Il resto delle sue regole seguono schemi simili, bloccando cose che sembrano "pericolose" ma non lo sono effettivamente pericoloso se l'app è stata scritta correttamente e soggetta a falsi positivi. In quanto tale, tutto ciò che ModSecurity è davvero buono per la sicurezza è il teatro o il controllo di una casella che si dispone di un WAF per soddisfare alcune normative. Non c'è alcun danno reale nel disattivarlo, e non riflette in modo negativo sul software affatto a cui ti dice di farlo. (Anche MediaWiki, che alimenta Wikipedia, ti dice di spegnerlo.)

    
risposta data 18.10.2018 - 15:55
fonte
-1

Abbiamo trovato che modSecurity è molto utile, produce una piccola percentuale di falsi positivi nella nostra esperienza.

Il nostro consiglio sarebbe quello di utilizzare la modalità di punteggio anomalia [1], abbiamo trovato questo approccio più vantaggioso rispetto al punteggio tradizionale.

Una considerazione importante è il tipo di app (o app) che stai implementando. Ad esempio, se la tua app è molto "text" / "wordy", cioè un sacco di campi di testo liberi, la probabilità di falsi positivi aumenterà. ModSecurity con il punteggio di anomalia sta cercando di fare una stima migliore, si basa tutto su espressioni regolari.

Alcune cifre della nostra app, abbiamo circa 110 milioni di richieste mensili e otteniamo una percentuale molto bassa di falsi positivi.

Vorrei anche sottolineare con modSecurity che puoi autorizzare contentTypes, metodi HTTP ecc. È più che scansionare per SQL injection e XSS.

Di certo non spegneremo modSecurity.

Spero che questo aiuti un po '.

[1] Anomaly Scoring. link

    
risposta data 18.10.2018 - 19:27
fonte
-2

ModSecurity mantiene solo poche regole sulla loro configurazione, quindi, a meno che non si aggiungano anche le corrette regole di protezione come OWASP CRS o qualsiasi altra regola, non è molto diverso da averlo o meno.

Vorrei stare lontano da un'applicazione che consiglia di disattivare il WAF, se non riescono a gestire un WAF, dovrebbero dire che non è sotto il loro ambito di supporto, ma che potrebbe essere una cultura aziendale quindi potrebbero non avere alcun a.

    
risposta data 18.10.2018 - 13:46
fonte

Leggi altre domande sui tag