ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

ModSecurity バージョン 3.0.0 の最初のリリー ス候補

最近我々は libModSecurity(ModSecurity バージョン 3 としても知られている)の最初のリリース候補を発表しました。 その目標は ModSecurity を Web サーバやプラットフォームに関係なくシームレスに使用できる成熟したライブラリに変 えることでした。 ModSecurity バージョン 3 の動機は、 以前のブログ記事に詳細にまとめられています。

ModSecurity の最先端バージョンをテストしている間に Apache Web サーバで現在使用しているバージョンを使用し続 けることができるので、このリリース候補はバージョン 2.x のユーザの大部分に影響を与えません。 したがって、バー ジョン 2.x の既知の問題のため、Nginx ユーザが libModSecurity への切り替えを行うことを強くお勧めします。

バージョン 3 では Web サーバのコンポーネントがメインリポジトリから切り離され、それぞれが独自のリリースおよび開 発サイクルを持つ「コネクタ」と呼ばれるようになったことに言及することは重要です。 私たちは次の 2 つの主要なコネ クタ、Nginx と Apache から始めています。


Nginx コネクタ

nginx コネクタはコード化された最初のコネクタです。 その開発は補完的なアプローチで libModSecurity の開発と並行 して開始されました。 このため、今のところ libModSecurity を試してみたい場合は、Nginx コネクタが最適です。それは かなりの間コミュニティによって使用されてきました。 その間、バージョン 2.x よりもはるかに安定していることが実証さ れ、新しいアーキテクチャと libModSecurity の新機能の利点も得られました。

(ModSecurity-nginx GitHub project

Screen Shot 2017-08-29 at 10.04.34 PM

(ModSecurity-nginx GitHub プロジェクトコミッターグラフ)

コンパイルの手順と Nginx コネクタの詳細については、GitHub のホームページを参照してください。 https://github.com/SpiderLabs/ModSecurity-nginx


Apache コネクタ

Apache コネクタの開発は、Google Summer of Code プロジェクトとして、生徒である Tahir Ramzan https://github.com/tahirramzanと SpiderLabs チームの監督のもとで始まりました。 過去数ヶ月でコンポーネントは libModSecurity の新機能をサポートするようにリファクタリングされました。 また、それ自身のリグレッションテストセット とともに、バージョン 2.x のリグレッションテストを使用して互換性をテストできるように開発されました。

動作はしますが Apache コネクタは本番環境では使用されていません。 欠落している部分の 1 つは、バージョン 2.x からバージョン 3.x にルール 1:1 にロードする機能です。 現在 ModSecurity ルールは特別な設定セグメントで記述す る必要があります。 計画は何も変更することなく設定のロードを可能にする互換性レイヤーを持つことです。 これに ついては、ここで詳しく説明されています。 https://sourceforge.net/p/mod-security/mailman/message/35961658/

Apache コネクタは GitHub でもホストされています:https://github.com/SpiderLabs/ModSecurity-apache


libModSecurity トレーニング(AppSec USA)

SpiderLabs の ModSecurity チームは AppSec USA でトレーニングセッションを開催します。このトレーニングはライブウ ェブアプリケーションの保護を担当している Web アプリケーション防御者に適しています。 オープンソースの libModSecurity(別名 v3)WAF のこの最先端のバージョンに追加された重要なアップデート、改善、新機能について説 明します。 私たちは、最新のバージョンの ModSecurity を習得するだけでなく、Web 攻撃を検出して停止する Web セ キュリティ防御スキルを磨くことに興味がある人のために、このトレーニングを作成しました。 詳細は、 https://appsecusa2017.sched.com/event/B2VVを参照してください。

トレーニングに参加できなくても、ModSecurity について話したり、議論したい場合、AppSec USA にいる私たちに「こん にちは!」と声を掛けてください。私たちはイベントの期間中ずっとそこにいます。 =)