OWASP（Open Web Application Security Project）が提供するウェブアプリケーションファイアウォール（WAF）向けのルールセット「OWASP ModSecurity Core Rule Set（CRS）」に複数の脆弱性が明らかとなった。 HTTPヘッダの「Content-Type」を細工することにより、文字 ...

前回は脆弱性やPoCコードに関する情報収集について解説した。今回はそれらの情報を基に、脆弱性を悪用する攻撃を防ぐ方法を解説する。利用するのは、無料で使えるOSS（オープンソースソフトウエア）のWAF（Web Application Firewall）である「ModSecurity」だ。

ウェブアプリケーションファイアウォール（WAF）である「ModSecurity」のコアライブラリ「Libmodsecurity3」に脆弱性が明らかとなった。 「同3.0.13」において特定のHTMLエンティティが正しくデコードされない脆弱性「CVE-2025-27110」が明らかとなったもの。攻撃者が ...

A comprehensive project focused on securing a vulnerable web application (Damn Vulnerable Web Application - DVWA) by deploying, configuring, and tuning the ModSecurity Open Source Web Application ...

Installation Script (bash): Automates the installation and configuration of ModSecurity as a dynamic module for a host-installed Nginx on Linux. It handles all dependencies, builds ModSecurity from ...

Abstract: Open-source software has slowly infiltrated the enterprise space because the products tend to be cheaper, flexible, and secure in comparison to propriety products. However, open-source ...

ModSecurityはApacheのモジュールとして動作する。設定はhttpd.confをはじめとしたApacheのコンフィグファイル上でおこなう。Portsからインストールすると、Apacheのコンフィグファイルを格納するディレクトリに関連するファイル(ModSecurity Core Rules)がひととおり生成 ...