我们正在为ModSecurity(mod_security)寻找一些额外的规则 - 有两个商业选项,GotRoot,或来自TrustWave的新选项
http://www.gotroot.com/mod_security+rules
https://www.trustwave.com/modsecurity-rules-support.php
我听说过TrustWave而不是GotRoot。然而,GotRoot规则似乎在Google等上有更多的提及 - 似乎TrustWave的规则只出现在大约一个月左右之前
我们将使用它们来保护电子商务网站
答案 0 :(得分:7)
我是Trustwave SpiderLabs研究团队的ModSecurity项目负责人。比较两个规则集并询问哪个“更好”取决于您的应用程序设置和所需的安全需求。您提到这是一个电子商务网站。它是否使用osCommerce等公共软件?
Trustwave的商业ModSecurity规则有许多一般优势:
规则由Trustwave SpiderLabs研究团队创建,该团队负责开发ModSecurity代码,从而降低规则准确性错误(请参阅下面有关GotRoot问题的数据)
SpiderLabs研究团队针对我们的规则进行了广泛的测试和研究,以使其更好。请参阅我们最近的SQL注入挑战 - http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html
规则既可以单独使用,也可以与OWASP ModSecurity核心规则集(也由同一个Trustwave SpiderLabs研究团队管理)集成。这允许部署的灵活性并且还提高了准确性,因为存在对攻击有效载荷的协作检测。最终结果是假阴性(失踪攻击)的可能性较低。
可以使用攻击类型或应用程序类型方法应用Trustwave规则。例如,如果您正在运行osCommerce站点,我们有一个打包的规则集,其中仅包含该特定应用程序的虚拟补丁。这种方法的好处是,您只需激活适用于您的环境的规则,而不是运行数百或数千个不需要的规则。这种方法的另一个好处是它可以减少请求的处理时间/延迟。
Trustwave虚拟补丁还包括带有http链接到第三方漏洞数据(如OSVDB)的元数据。
至于GotRoot规则本身,我在审查其公共延迟规则后发现了许多准确性问题,这些问题可能会导致错误的否定问题。主要问题在于转换功能的使用不当。转换函数(示例t:base64Decode)用于在应用运算符之前规范化数据。有许多GotRoot规则应用不正确的转换函数,即使存在恶意数据,也会以操作员永远不会匹配的方式更改数据。这表明这些尚未经过准确性测试。
希望这些信息有所帮助。