mod_securityは良いことですか？

私は最近、mod_securityからの誤ったエラーメッセージに頻繁にアクセスしています。そのフィルターセットは古いPHPのエクスプロイトをカバーしており、Wordpress＆Coには何年も前にバグがあったため、私のものを書き直さなければなりません。

これは他の人にも起こりますか？

Apache mod_securityは、アプリケーション（特にPHP）に到達する前に、潜在的に危険なHTTPリクエストをブロックします。正規表現ベースのさまざまなフィルターセットを使用します。

だから私は技術的に適切なものなど、素晴らしい共有ホスティングプロバイダーを持っています。しかし、これは私を悩ませました：

先週&src=、mod_securityがすべての要求をブロックするため、アプリの1つでパラメーター名を変更する必要がありました。詳細は調べませんでしたが、このフィルタールールは、私が使用しておらず、おそらく聞いたこともない別のアプリの悪用を防ぎました。それでも、コードを書き換える必要がありました（パラメーターの名前を変更すると、mod_securityをだますのに十分です）。これは、何もすることも、それと共通することもありません！

そして今日、phpのサンプルコードを送信したかったので、ばかげた正規表現がフォームの送信をブロックします。与えられた、これはmod_securityがそこから保護するためにある単純なものです。しかし、私はmod_securityが深刻に難読化されたコードを検出できるとは信じておらず、明らかな（そしてこの場合は完全に）単純なphpスニペットで起動します。

他の人がバグが発生しやすいアプリをリリースしたので、基本的に私はmod_securityによって罰せられています。（私のアプリが非常に安全であると言っているわけではありません-私はかなりセキュリティに警戒していますが、双曲線の主張
はしていません。）とにかくそれを無効にするようにプロバイダーに依頼しました。

どう思いますか？mod_securityはWPホスティングの外で大いに意味がありますか？それとも本当に長い間渡されたセキュリティバグのブラックリストのほんの束なのでしょうか？そのルールのどれが実際に役に立ちますか？同等のアプリケーションレベルはありますか？

私は個人的にmod_securityをパッチと見なしています。アップロードされたコードを制御できない一部のサーバー（たとえば、共有ホスティングサーバー）で使用しますが、それは私にとって良い解決策とは思えません。それは広く非常に一般的なブラックリストアプローチに基づいているため、優れたセキュリティポリシーよりもセキュリティホールをカバーするためのパッチに近いものです。

また、誤った安心感を与える可能性もあります。mod_securityはいくつかの一般的な攻撃を明らかにできますが、決して攻撃を防ぐことはできません。繰り返しますが、これは一般的な既知の攻撃のブラックリストです。単にmod_securityをインストールして、魔法のように安全だと思ったら、恐ろしく間違っています。

多くのログ、ログファイル分析、レポートシステム、侵入検知/侵入防止システム（IPS）と組み合わせて、チームがそれらに配置されたすべてのコードをレビューする管理対象サーバーに対して、はるかに優れたポリシーを見つけました。サードパーティまたはオープンソースのソフトウェアがインストールされるたびに（私はWordPressを見ている！）、インストールされた場所のログを記録し、新しいバージョンがリリースされると、インストールされたすべてのコピーを更新します。

繰り返しますが、今経験しているように、共有ホスティングサーバーでmod_securityを見つける可能性が高くなります。成長するにつれて、VPSまたはクラウドベースのホスティングプロバイダーに移行して、独自の管理環境を取得し、利用可能なソフトウェアをより厳密に制御できます。

私の意見では、プログラミングの初心者であればmod_securityが良い考えですが、時間をかけてアプリケーションを正しく記述し、evalを使用した安全でないコードを記述したり、GET文字列を直接SQLに連結したりしない場合は、それ。mod_securityが深刻なハッカーを阻止することは決してありません。優れたアプリケーションがあれば、スクリプトキディはあきらめて次の非常に脆弱で安全でないアプリに移動します。