mod_security เป็นสิ่งที่ดีหรือไม่?

ฉันเพิ่งได้รับการแวะเวียนเข้ามาโดยข้อความผิดพลาดที่ผิดพลาดจาก mod_security ชุดตัวกรองมันครอบคลุมการหาประโยชน์ PHP ที่ล้าสมัยและฉันต้องเขียนข้อมูลใหม่เพราะ Wordpress & Co มีข้อบกพร่องหลายปีมาแล้ว

สิ่งนี้เกิดขึ้นกับคนอื่นหรือไม่?

Apache mod_security บล็อกคำขอ HTTP ที่อาจเป็นอันตรายก่อนที่จะเข้าถึงแอพพลิเคชัน (เฉพาะ PHP) มันใช้ชุดตัวกรองต่าง ๆ ซึ่งส่วนใหญ่เป็น regex

ดังนั้นฉันจึงมีผู้ให้บริการโฮสติ้งที่ใช้ร่วมกันที่ดีมีความเชี่ยวชาญด้านเทคนิคและอื่น ๆ แต่สิ่งนี้ทำให้ฉัน:

เมื่อสัปดาห์ที่แล้วฉันต้องเปลี่ยนชื่อพารามิเตอร์&src=ในหนึ่งในแอพของฉันเพราะ mod_security บล็อกคำขอใด ๆ ด้วย ฉันไม่ได้ดูรายละเอียด แต่กฎตัวกรองนี้ป้องกันการใช้ประโยชน์จากแอพอื่นที่ฉันไม่ได้ใช้และอาจไม่เคยได้ยินมาก่อน ถึงกระนั้นฉันก็ต้องเขียนโค้ดของฉันใหม่(การเปลี่ยนพารามิเตอร์มักจะพอเพียงเพื่อหลอกลวง mod_security) ซึ่งไม่มีอะไรทำหรือเหมือนกันกับสิ่งนั้น!

และวันนี้ regex โง่ ๆ บล็อกฟอร์มส่งเพราะฉันต้องการส่งโค้ดตัวอย่าง php รับนี้เป็นสิ่งง่าย ๆ ที่ mod_security อยู่ที่นั่นเพื่อป้องกัน แต่ฉันไม่เชื่อว่า mod_security สามารถตรวจจับโค้ดที่ทำให้งงงวยอย่างรุนแรงและเพิ่งจะออกไปอย่างชัดเจน (และในกรณีนี้เล็กน้อย) php ตัวอย่าง

โดยพื้นฐานแล้วฉันถูกลงโทษโดย mod_security เพราะคนอื่น ๆ ปล่อยแอพที่มีข้อผิดพลาดได้ง่าย (ไม่ได้บอกว่าแอพของฉันปลอดภัยเป็นพิเศษ - ฉันค่อนข้างระวังเรื่องความปลอดภัย แต่ไม่มีการไฮเปอร์โบลิกอ้างสิทธิ์)
ฉันได้ขอให้ผู้ให้บริการของฉันปิดการใช้งานต่อไปข้อดีคือ IMO น้อยเกินไปและสำหรับแอปของฉัน

คุณคิดอย่างไร? mod_security เหมาะสมกว่าโฮสติ้ง WP หรือไม่? หรือว่าเป็นเพียงบัญชีดำที่มีข้อบกพร่องด้านความปลอดภัยที่ผ่านการตรวจสอบมานาน กฎข้อใดมีประโยชน์จริง ๆ แอพพลิเคชั่นมีระดับเทียบเท่าหรือไม่?

ฉันเห็น mod_security เป็นการส่วนตัว ฉันใช้กับเซิร์ฟเวอร์ของเราบางตัวที่เราไม่สามารถควบคุมรหัสที่อัปโหลด (เช่นเซิร์ฟเวอร์โฮสต์ที่ใช้ร่วมกัน) แต่มันไม่เคยรู้สึกเหมือนเป็นทางออกที่ดีสำหรับฉัน ตามแนวทางที่กว้างและบัญชีดำที่มีความครอบคลุมเป็นอย่างมากมันเป็นมากกว่าการปะแก้เพื่อปกปิดรูโหว่ด้านความปลอดภัยมากกว่านโยบายความปลอดภัยที่ดี

นอกจากนี้ยังสามารถให้ความปลอดภัยที่ผิดพลาด mod_security สามารถเปิดเผยการโจมตีทั่วไป แต่ไม่สามารถป้องกันการโจมตีใด ๆ อีกครั้งมันเป็นบัญชีดำของการโจมตีที่รู้จักกันทั่วไป หากคุณเพียงแค่ติดตั้ง mod_security และคิดว่าคุณมีความปลอดภัยอย่างน่าอัศจรรย์คุณจะเข้าใจผิดอย่างร้ายแรง

ฉันพบนโยบายที่ดีกว่ามากสำหรับฉันที่จัดการเซิร์ฟเวอร์โดยที่ทีมของฉันตรวจสอบรหัสทั้งหมดที่อยู่ในนั้นรวมกับบันทึกจำนวนมากการวิเคราะห์ล็อกไฟล์ระบบรายงานและระบบตรวจจับการบุกรุก / การป้องกันการบุกรุก (IPS) ทุกครั้งที่มีการติดตั้งซอฟต์แวร์ของ บริษัท ภายนอกหรือโอเพนซอร์ซ (ฉันกำลังมองหาคุณ WordPress!) เราเก็บบันทึกการติดตั้งไว้และเมื่อมีการออกเวอร์ชั่นใหม่เราจะอัปเดตทุกสำเนาที่ติดตั้ง

อีกครั้งคุณมีแนวโน้มที่จะพบ mod_security ในเซิร์ฟเวอร์การโฮสต์ที่ใช้ร่วมกันตามที่คุณประสบอยู่ตอนนี้ ในขณะที่คุณเติบโตคุณสามารถย้ายไปยัง VPS หรือผู้ให้บริการโฮสติ้งแบบอิงกลุ่มซึ่งคุณจะได้รับสภาพแวดล้อมการจัดการของคุณเองและสามารถควบคุมซอฟต์แวร์ที่มีอยู่ให้แน่นขึ้น

ในความคิดของฉันถ้าคุณเป็นสามเณรในการเขียนโปรแกรม mod_security เป็นความคิดที่ดี แต่ถ้าคุณใช้เวลาในการเขียนแอปพลิเคชันของคุณอย่างถูกต้องและหลีกเลี่ยงการเขียนโค้ดที่ไม่ปลอดภัยที่ใช้สตริง GET eval หรือ concatenate มัน. mod_security จะไม่หยุดยั้งแฮกเกอร์ที่ร้ายแรงและถ้าคุณมีแอปพลิเคชั่นที่ดีสคริปต์ kiddies จะยอมแพ้และไปยังแอปที่อ่อนแอและไม่ปลอดภัยต่อไปจริงๆ