ModSecurity , a veces llamado Modsec , es un firewall de aplicaciones web (WAF) de código abierto . Diseñado originalmente como un módulo para el servidor HTTP Apache , ha evolucionado para proporcionar una variedad de capacidades de filtrado de solicitudes y respuestas del Protocolo de transferencia de hipertexto junto con otras características de seguridad en varias plataformas diferentes, incluido el servidor HTTP Apache , [1] [2] Microsoft IIS y Nginx . [3] Es un software gratuito publicado bajo la licencia Apache 2.0.
La plataforma proporciona un lenguaje de configuración de reglas conocido como 'SecRules' para el monitoreo, registro y filtrado en tiempo real de las comunicaciones del Protocolo de transferencia de hipertexto basado en reglas definidas por el usuario.
Aunque no es su única configuración, ModSecurity se implementa con mayor frecuencia para proporcionar protecciones contra clases genéricas de vulnerabilidades utilizando el conjunto de reglas básicas de ModSecurity (CRS) de OWASP. [4] Este es un conjunto de reglas de código abierto escritas en el lenguaje SecRules de ModSecurity. El proyecto es parte de OWASP , el Proyecto de seguridad de aplicaciones web abiertas. También están disponibles varios otros conjuntos de reglas.
Para detectar amenazas, el motor ModSecurity se implementa integrado en el servidor web o como un servidor proxy frente a una aplicación web. Esto permite que el motor escanee las comunicaciones HTTP entrantes y salientes al punto final. Dependiendo de la configuración de la regla, el motor decidirá cómo se deben manejar las comunicaciones, lo que incluye la capacidad de pasar, descartar, redirigir, devolver un código de estado determinado, ejecutar un script de usuario y más.
ModSecurity fue desarrollado por primera vez por Ivan Ristić , quien escribió el módulo con el objetivo final de monitorear el tráfico de aplicaciones en el servidor HTTP Apache . La primera versión se lanzó en noviembre de 2002 y era compatible con Apache HTTP Server 1.3.x. A partir de 2004, Ivan creó Thinking Stone para continuar trabajando en el proyecto a tiempo completo. Mientras trabajaba en la versión 2.0, la reescritura de Thinking Stone fue comprada por Breach Security, una empresa de seguridad estadounidense-israelí, en septiembre de 2006. Ivan continuó con el desarrollo de la versión 2.0, que se lanzó posteriormente en el verano de 2006.
Ristić y Breach Security lanzaron otra reescritura importante, la versión 2.5, con importantes cambios sintácticos en febrero de 2008. En 2009, Ivan dejó Breach para fundar SSL Labs. Poco después de la salida de Ivan de Breach Security, Trustwave Holdings adquirió Breach en junio de 2010 y volvió a obtener la licencia de ModSecurity bajo la licencia de Apache. El desarrollo continuó y la nueva licencia permitió una integración más sencilla de ModSecurity en otros productos. Como resultado de esto, hubo una adopción constante de ModSecurity por varios productos comerciales. El cambio de licencia también precipitó una migración más fácil del software. Por lo tanto, Microsoft contribuyó con un puerto IIS en agosto de 2012 y el puerto para Nginx se lanzó en Black Hat Briefings en 2012.