我们正在为 ModSecurity (mod_security) 寻找一些额外的规则 - 有 2 个商业选项,GotRoot 或来自 TrustWave 的新选项
http://www.gotroot.com/mod_security+rules
https://www.trustwave.com/modsecurity-rules-support.php
我听说过 TrustWave,但没有听说过 GotRoot。然而,GotRoot 规则似乎在 Google 等上有更多提及 - 似乎 TrustWave 的规则仅在大约一个月前出现
我们将使用它们来保护电子商务网站
我是 Trustwave SpiderLabs 研究团队的 ModSecurity 项目负责人。当比较两个规则集并询问哪个“更好”时,这将取决于您的应用程序设置和所需的安全需求。您提到这是一个电子商务网站。是否使用 osCommerce 等公共软件?
Trustwave 的商业 ModSecurity 规则具有许多一般优势:
这些规则由 Trustwave SpiderLabs 研究团队创建,该团队开发了 ModSecurity 代码,从而降低了规则准确性的错误(请参阅下面有关 GotRoot 问题的数据)
SpiderLabs 研究团队针对我们的规则进行了广泛的测试和研究,以使它们变得更好。查看我们最近的 SQL 注入挑战 - http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html
这些规则可以单独使用,也可以与 OWASP ModSecurity 核心规则集(也由同一 Trustwave SpiderLabs 研究团队管理)集成。这允许部署的灵活性,并且还提高了准确性,因为对攻击有效负载进行了协作检测。最终结果是假阴性(丢失攻击)的可能性较低。
可以使用攻击类型或应用程序类型方法来应用 Trustwave 规则。例如,如果您正在运行一个 osCommerce 站点,我们有一个打包的规则集,其中包含仅适用于该特定应用程序的虚拟补丁。这种方法的好处是您只激活适用于您的环境的规则,而不是运行数百或数千个不需要的规则。这种方法的另一个好处是它将减少请求的处理时间/延迟。
Trustwave 虚拟补丁还包括元数据,其中包含指向 OSVDB 等第三方漏洞数据的 http 链接。
至于 GotRoot 规则本身,我在查看了他们的公开延迟规则后发现了许多准确性问题,如果出现误报问题,可能会导致这些问题。主要问题在于变换函数的使用不当。转换函数(例如 t:base64Decode)用于在应用运算符之前对数据进行规范化。有许多 GotRoot 规则应用了不当的转换功能,这些功能会以一种即使存在恶意数据,操作员也永远无法匹配的方式更改数据。这表明这些尚未经过准确性测试。
希望这些信息有所帮助。