ModSecurityについて調べた

レポジトリ

• owasp-modsecurity/ModSecurity: ModSecurity is an open source, cross platform web application firewall (WAF) engine for Apache, IIS and Nginx that is developed by Trustwave’s SpiderLabs. It has a robust event-based programming language which provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring, logging and real-time analysis. With over 10,000 deployments world-wide, ModSecurity is the most widely deployed WAF in existence.
  • C++, Apache 2.0ライセンス
  • What is the difference between this project and the old ModSecurity (v2.x.x)? の項によるとv3のlibmodsecurityはApache依存のv2とは異なりApache非依存のライブラリ
  • 下のBindingsにPythonとVarnishのバインディングが書かれている。nginx用にowasp-modsecurity/ModSecurity-nginx: ModSecurity v3 Nginx Connector、Apache用にowasp-modsecurity/ModSecurity-apache: ModSecurity v3 Apache Connectorがある。
  • READMEにあるコード例は古いようだ。実際のヘッダファイルTransactionクラスのprocessConnectionメソッドのシグネチャはint processConnection(const char *client, int cPort, const char *server, int sPort)となっている。
  • Ivan Ristic（@ivanristic）さん / Xのプロフィールに Chief Scientist at Red Sift. Founder of Hardenize and author of Bulletproof TLS and PKI. Previously, founder of SSL Labs and ModSecurity. とある。

2024-01にTrustwaveからOWASPへ移管された

• https://www.modsecurity.org/ に2024-01-25にそれまでModSecurityの開発とサポートをしていたTrustwaveからOWASPに移管した旨が書かれいてる。
• Trustwave Transfers ModSecurity Custodianship to OWASP | OWASP Foundation
  • 移管前からCore Rule SetはOWASPが管理していたとのこと。
• OWASP - Wikipediaによると Open Worldwide Application Security Project の略。

Core Rule Set (CRS)

• OWASP ModSecurity Core Rule Set – The 1st Line of Defense Against Web Application Attacks
• レポジトリ：coreruleset/coreruleset: OWASP ModSecurity Core Rule Set (Official Repository)
• Xのアカウント：Core Rule Set（@CoreRuleSet）さん / X
• XユーザーのModSecurityさん: 「Congratulations on version 3.1.0 @corazaio!」 / Xで知ったが、corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall libraryというのもある。Go製、Apache 2.0ライセンス、OWASP Core Rule Set v4と100%互換性ありとのこと。

CVE-2024-1019の脆弱性

• NVD - CVE-2024-1019
• ModSecurity: Path Confusion and really easy bypass on v2 and v3
• Xで@ModSecurityの2024-01-31のポストによるとバージョン3.0.12で修正。これがOWASP移管後の初リリースとのこと。

Debian 12のModSecurity関連パッケージ

• modsecurity を名前に含むパッケージを、bookworm スイート、すべてのセクション、すべてのアーキテクチャで検索
  • libmodsecurity-dev 3.0.9-1+deb12u1: ModSecurity v3 library component (development files)
  • libmodsecurity3 3.0.9-1+deb12u1: ModSecurity v3 library component
  • libnginx-mod-http-modsecurity 1.0.3-1+b2: WAF module for Nginx
  • modsecurity-crs 3.3.4-1: OWASP ModSecurity Core Rule Set

参考記事

• ModSecurityとは？オープンソースWAFのメリット・デメリットを解説 | WebセキュリティのEGセキュアソリューションズ