Wat is Mod Security?
Oorspronkelijk ontworpen als een module voor de Apache HTTP-server (webserver), is het geëvolueerd om een reeks Hypertext Transfer Protocol-aanvraag- en responsfiltermogelijkheden te bieden, samen met andere beveiligingsfuncties op een aantal verschillende platforms, waaronder Apache HTTP Server en Nginx. Het is een gratis software uitgebracht onder de Apache licentie 2.0.
OWASP beveiliging regels
Het CRS heeft tot doel webapplicaties zoals WordPress, Joomla, Magento en vele andere pakketten te beschermen tegen een breed scala aan hack aanvallen, met een minimum aan valse waarschuwingen.
Het CRS biedt bescherming tegen veel voorkomende aanvalscategorieën, waaronder SQL-injectie, cross-site scripting, lokale bestandsopname, enz.

Modsecurity beveiliging op ons netwerk
deze worden door ModSecurity direct gefilterd en bij meerdere soortgelijke verzoeken in de blokkeerlijst geplaatst van onze firewall.
Uiteraard kan het wel eens voorkomen dat er een zogenaamde “false positive” wordt geblokkeerd op ons netwerk, het is dan voor elke klant en voor elke domeinnaam individueel mogelijk om een bepaalde beveiligingsregel te negeren in het filterproces.
Krijg je een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? dan kan het zomaar zijn dat de beveiligingsregels je de toegang ontzeggen naar de betreffende website URL, Ben je er zeker van dat deze handeling of URL rechtmatig kan worden bezocht, dan kun je de regel uitschakelen en laten negeren in het filterproces, waarna je gewoon de website URL kunt bezoeken, of de betreffende scripts kunt uitvoeren.
Hoe negeer ik regels van ModSecurity?
Login op je Directadmin account:
Klik linksboven op de pagina op “Domain Setup”
Selecteer de betreffende domeinnaam waar de ModSecurity regels van moeten worden aangepast en klik op deze domeinnaam.
klik daarna achter ModSecurity op de knop “modify”
Voordat we de uitzondering van een beveiligingsregel kunnen toepassen dienen we eerst de betreffende regel te identificeren
klik hier voor onder “Modsec_audit.log” op 100 of 500, om zo de laatste 100 of 500 logregels van de gedetecteerde beveiliging blokkades te kunnen bekijken.
Na het klikken zie je een gedeelte van het logbestand, en de informatie regels worden weergegeven van de meest recente blokkeringen doormiddel van ModSecurity.
Informatie welke je terug kunt vinden in het logbestand zijn bijvoorbeeld: gebruikte ip-adres, tijd/datum, gebruikte methode POST/GET, bezochte link, de response van ModSEC en extra info over de gebruikte blokkeer regel.
Het belangrijkste wat voor u als klant noodzakelijk is het gedeelte “messages”, in deze blokkeer informatie staat een identificatie nummer genoemd namelijk: “ruleId” met een nummer (in het voorbeeld hieronder is dit “941100”), dit soortgelijke nummer heeft u nodig in Directadmin, met dit nummer kunt u de betreffende regel uitsluiten van het filterproces, wanneer de URL wordt bezocht.
LET OP: Zorg ervoor dat u de juiste ruleID nummers gebruikt, en geen regels uitsluit welke een mogelijk gevaar kunnen vormen voor uw website.
“messages” :
“message”: “”,
“details”:
“match”: “”,
“reference”: “”,
“ruleId”: 941100,
“file”: “”,
“data”: “”,
“severity”: “2”,
“ver”: “OWASP_CRS..”,
Vul de betreffende identificatienummer van de regel in bij “ModSecurity Skipped Rules” en druk daarna op “Add SecRuleRemoveById”
de regel wordt dan enkele minuten later geactiveerd voor uw website en domeinnaam.