Nouvelle protection : ModSecurity 2.6

[Elodie]

Le serveur WEB protège maintenant les sites non protégés contre les failles XSS, les injections SQL ainsi que différentes attaques diverses auxquelles certains propriétaires de sites ne se préoccupent malheureusement pas.

Le système ModSecurity 2.6 a été implémenté sur Apache et bien qu'il soit encore en cours de déploiement et d'affinage aux petits oignons, des nouvelles sécurités sont d'ores et déjà actives.

N'hésitez pas à me remonter n'importe quel soucis qui découlerai de ce nouvel outil.

Le but est de protéger vos développements en plus de les héberger, vous en offrir encore plus

[Passionaqua]

ça ne veut pas dire qu'il ne faut pas se protéger sois même !

[Elodie]

Je viens d'affiner les protections.

Voici alors les règles de protection actuellement en production :

• modsecurity_35_bad_robots.data
• modsecurity_35_scanners.data
• modsecurity_40_generic_attacks.data
• modsecurity_41_sql_injection_attacks.data
• modsecurity_50_outbound.data
• modsecurity_50_outbound_malware.data
• modsecurity_crs_20_protocol_violations.conf
• modsecurity_crs_21_protocol_anomalies.conf
• modsecurity_crs_23_request_limits.conf
• modsecurity_crs_30_http_policy.conf
• modsecurity_crs_35_bad_robots.conf
• modsecurity_crs_40_generic_attacks.conf
• modsecurity_crs_41_sql_injection_attacks.conf
• modsecurity_crs_41_xss_attacks.conf
• modsecurity_crs_42_tight_security.conf
• modsecurity_crs_45_trojans.conf
• modsecurity_crs_47_common_exceptions.conf
• modsecurity_crs_48_local_exceptions.conf.example
• modsecurity_crs_49_inbound_blocking.conf
• modsecurity_crs_50_outbound.conf
• modsecurity_crs_59_outbound_blocking.conf
• modsecurity_crs_60_correlation.conf

[Elodie]

Je viens d'activer également des règles de sécurité pour contrer les robots de SPAM et ainsi protéger vos forums, blogs, livre d'or etc ... :

• modsecurity_42_comment_spam.data
• modsecurity_crs_42_comment_spam.conf