Я руководитель проекта ModSecurity в исследовательской группе Trustwave SpiderLabs.Когда вы сравниваете два набора правил и спрашиваете, что «лучше», это будет зависеть от настроек вашего приложения и желаемых требований безопасности.Вы упомянули, что это сайт электронной коммерции.Использует ли оно общедоступное программное обеспечение, такое как osCommerce?
Коммерческие правила ModSecurity от Trustwave имеют ряд общих преимуществ:
Правила создаются исследовательской группой Trustwave SpiderLabsкоторый разрабатывает код ModSecurity, который приводит к снижению ошибок точности правил (см. данные ниже о проблемах GotRoot)
Исследовательская группа SpiderLabs проводит всестороннее тестирование и исследования в соответствии с нашими правилами, чтобы улучшить их.См. Наш недавний вызов SQL-инъекций - http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html
Правила можно использовать как самостоятельно, так и в составе основного набора правил OWASP ModSecurity (который также управляется той же исследовательской группой Trustwave SpiderLabs),Это обеспечивает гибкость развертывания, а также повышает точность, поскольку существует совместное обнаружение для полезных нагрузок атаки.Конечный результат заключается в том, что вероятность ложного отрицания (отсутствующих атак) ниже.
Правила Trustwave можно применять с использованием методологии типа атаки или типа приложения.Например, если вы работаете с сайтом osCommerce, у нас есть упакованный набор правил с виртуальными исправлениями только для этого конкретного приложения.Преимущество этого подхода состоит в том, что вы активируете только те правила, которые применимы к вашей среде, а не запускаете сотни или тысячи ненужных правил.Дополнительным преимуществом этого подхода является то, что он сократит время обработки / задержку запросов.
Виртуальные исправления Trustwave также включают метаданные с ссылками http на данные об уязвимостях сторонних производителей, такие как OSVDB.
Что касается самих правил GotRoot, есть ряд проблем с точностью, которые я обнаружил после рассмотрения их общедоступных правил с задержкой, которые могут возникнуть в случае ложных отрицательных проблем.Основная проблема заключается в неправильном использовании функций преобразования.Функции преобразования (пример t: base64Decode) используются для нормализации данных перед применением оператора.Есть много правил GotRoot, которые применяют неправильные функции преобразования, которые изменяют данные таким образом, что оператор никогда не совпадет, даже если присутствуют вредоносные данные.Это указывает на то, что они не были проверены на точность.
Надеюсь, эта информация поможет.