引入 ModSecurity IIS 2.7.2 稳定版本
我们很高兴宣布开源Web应用防火墙模块 ModSecurity IIS 2.7.2 的稳定版本发布。自2012年7月发布测试版以来,我们一直致力于提升模块质量,以满足企业级产品要求。除了众多可靠性改进外,自首个测试版发布以来,我们还引入了以下变更:
- 优化了请求和响应体处理的性能
- 在配置文件中添加了“Include”指令、相对路径和通配符选项
- 重写了安装程序代码以避免 .NET Framework 依赖,并将安装错误消息添加到系统事件日志中
- 在 MSI 安装程序中集成了 OWASP 核心规则集,并提供了 IIS 特定配置
- 修复了 ModSecurity IIS 用户报告的约10个功能性问题
微软最近还发布了一篇题为“保护面向互联网的 Web 服务器的安全最佳实践”的 TechNet 文章,详细解释了在 Web 服务器上部署 WAF 模块的好处。
集成的 OWASP 核心规则集
在 ModSecurity IIS 2.7.2 版本中,我们包含了预配置的 OWASP 核心规则集,适用于 IIS 服务器上遇到的大多数常见场景。规则集安装到 c:\inetpub\wwwroot\owasp_crs 目录中,可以通过在任何 web.config 文件中添加以下内容来包含它:
|
|
默认设置启用了请求体访问,禁用了响应体访问,不使用审计日志,并将临时文件和数据文件夹设置为 c:\inetpub\temp。用户可以通过在 modsecurity.conf 或 modsecurity_crs_10_setup.conf 文件中取消注释适当的 ModSecurity 指令来启用或修改这些及其他功能。
2012 年度 Toolsmith 工具奖:ModSecurity for IIS
HolisticInfosec 的 Russ McRee 在一月份举行了 2012 年度 Toolsmith 工具奖的公开投票,ModSecurity for IIS 获胜!
我们很高兴 Toolsmith 的读者在 IIS 版本的 ModSecurity 中发现了价值,并希望它能帮助他们快速缓解其 Microsoft IIS/ASP/.Net 环境中出现的新威胁。
致谢
我要感谢微软的 Nazim Lala 和 Ashish Kurmi 在模块测试方面的帮助,Trustwave 的 Breno Silva 和 Ryan Barnett 对 IIS 版本的持续支持,以及 Simon Kosinski 提供的宝贵见解和建议。
Greg Wroblewski, MSRC