#142 modsecurity

　WAFのテストをしたかったので、Dockerで環境をつくりました。Cloudとかでもできそうですが、法律的なところとかよくわからないので、手元で完結する環境を、OSSのmodsecurityで構築しました。

フィルターのルールは、自分でも設定できますが、OWASPが公開しているCore Rule Setを使います。

OWASP CRS | OWASP Foundation

ソースコード

構成

modsecurity (WAF) => nginx (Reverse Proxy) => PHP (App Server) => MySQL (DB)

使い方

docker composeで起動します。

docker compose up -d --build

http://localhost:8081 WAF経由でアクセス
http://localhost:8080 直接アクセス

攻撃的なリクエストを送るとちゃんとブロックされます。

EOF