modsecurity 对 Apache/Nginx 的设计目的是什么?
它是否起到身份验证的作用(Basic/Forms/Cookie)?
根据我的研究,它似乎是一个 Web 应用程序防火墙功能。身份验证等功能最好留给本机Web 服务器身份验证功能喜欢mod_auth_basic或者应用程序框架安全组件。
研究来源
答案1
ModSecurity 是一个Web 应用程序防火墙(WAF)。它不用于身份验证。
ModSecurity™ 是一个开源、免费的 Web 应用程序防火墙 (WAF) Apache 模块。--部署 WAF 是为了建立一个外部安全层,以提高安全性,在攻击到达 Web 应用程序之前检测并阻止攻击。它提供针对一系列针对 Web 应用程序的攻击的保护,并允许在对现有基础设施进行很少或没有更改的情况下进行 HTTP 流量监控和实时分析。
常见问题解答ModSecurity 支持哪些类型的安全模型?列出了四种安全模型:消极安全模型,积极安全模型,虚拟补丁&挤压检测模型。