Le 28 août 2010 à 21:09, Jerome Benoit a écrit :
Ici, existe il des gens qui utilisent mod_security ?
Oui :)
Et un deuxième.
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj...
En ne prenant pas le Core Rule Set tel que : en ce qui me concerne, mes applis (ou certains navigateurs) ne fonctionnent plus avec le Core Rule Set, qui est très paranoïaque par rapport aux normes.
En faisant un peu de filtre, ça fonctionne bien.
J'aimerai trouver des informations utiles pour améliorer la sécurité face à un script php "mal codé", qui permettrai des injections sql ou des failles XSS, sans passer 3h à le configurer. Une proposition ?
Suivant le contexte, j'irais jusqu'à te conseiller de mettre en prison (chroot) chaque appli.
Ce qui n'aidera pas (même si c'est une bonne idée) pour filtrer les XSS et les injections SQL.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu les nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est dans le Core Rule Set.
JFB