URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 40325
[ Назад ]

Исходное сообщение
"OpenNews: Выпущен релиз ModSecurity 2.5.0"
Отправлено opennews , 22-Фев-08 18:52

Выпущена (http://www.modsecurity.org/blog/archives/2008/02/modsecurity...) финальная версия Apache модуля ModSecurity 2.5.0 (http://www.modsecurity.org/), предназначенного для защиты web-приложений от типовых атак злоумышленников.

Наиболее интересные новшества (http://www.modsecurity.org/projects/modsecurity/apache/new_i...):
-  Альтернативный механизм (http://www.modsecurity.org/projects/modsecurity/apache/featu...) для более быстрого поиска совпадений по спискам, состоящим из большого числа строковых масок. Управление производится через два новых оператора "@pm" и "@pmFromFile";
-  При наличии нескольких правил, использующих одно и тоже преобразуемое значение, отныне результат всех промежуточных преобразований кэшируется в пределах обработки одного запроса, а не повторяется заново для каждого нового правила;
-  Включение в состав пакета скрипта  rules-updater.pl  для автоматического обновления правил блокировки из внешнего репозитория правил для ModSecurity;
-  Новые директивы языка формирования правил: skipAfter,  SecMarker, ctl:ruleRemoveById (возможность динамического удаления правил), переменная GEO для привязки правил к географической принадлежности посетителя;
-  Content Injection (http://www.modsecurity.org/projects/modsecurity/apache/featu...) - возможность из правил ModSecurity добавлять произвольный текст в отдаваемый HTML контент, например вставить JavaScript;
-  Оператор @verifyCC для определения присутствия номеров кредитных карт в трафике;
-  Поддержка написания внешних правил на языке Lua. Внешний скрипт задается директивой SecRuleScript;
-  Универсальная защита (http://www.modsecurity.org/projects/modsecurity/apache/featu...) от межсайтового скриптинга, через локальные ссылки в PDF файлах (например, "http://www.example.com/file.pdf#a=javascript:alert('Alert')").

URL: http://www.modsecurity.org/blog/archives/2008/02/modsecurity...
Новость: http://www.opennet.ru/opennews/art.shtml?num=14370

Содержание

Выпущен релиз ModSecurity 2.5.0,Аноним, 18:52 , 22-Фев-08
- Выпущен релиз ModSecurity 2.5.0,Аноним, 19:10 , 22-Фев-08
- Выпущен релиз ModSecurity 2.5.0,Аноним, 22:33 , 22-Фев-08
Выпущен релиз ModSecurity 2.5.0,chesnok, 23:17 , 22-Фев-08
- Выпущен релиз ModSecurity 2.5.0,Аноним, 21:12 , 23-Фев-08
OpenNews: Выпущен релиз ModSecurity 2.5.0,Jelis, 13:10 , 23-Фев-08

Сообщения в этом обсуждении

"Выпущен релиз ModSecurity 2.5.0"
Отправлено Аноним , 22-Фев-08 18:52

Костыль

"Выпущен релиз ModSecurity 2.5.0"
Отправлено Аноним , 22-Фев-08 19:10

>Костыль
Зря ты так.

"Выпущен релиз ModSecurity 2.5.0"
Отправлено Аноним , 22-Фев-08 22:33

>Костыль
очень выручает. оперативно можно закрыть дыру в скрипте, а потом уже разбираться кто виноват.

"Выпущен релиз ModSecurity 2.5.0"
Отправлено chesnok , 22-Фев-08 23:17

это хороший,надежный, крепкий кастыль.

"Выпущен релиз ModSecurity 2.5.0"
Отправлено Аноним , 23-Фев-08 21:12

и чем же?

"OpenNews: Выпущен релиз ModSecurity 2.5.0"
Отправлено Jelis , 23-Фев-08 13:10

Да уж это не костыль, а быстрее каска. От шальных осколков защитит, но снайпер твой глаз все равно найдет :-) Но всеравно, вещь полезная и нужная.