<div dir="ltr"><div>Well that is dissapointing. Perhaps the solution is having Suricata or BRO being able to pass traffic into modsecurity with the ability to define which websites (HTTP and HTTPS with certs) is passed in? Hopefully getting the benefits of modsecurity without having to worry about fully intergrating individual detections such as libinjection and other new or experimental things directly into Suricata/Bro.<br>
<br></div>Regards,<br>Kevin<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 3 July 2013 18:54, Seth Hall <span dir="ltr"><<a href="mailto:seth@icir.org" target="_blank">seth@icir.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
On Jul 2, 2013, at 2:18 AM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
<br>
> Yes it is considered -<br>
> <a href="https://redmine.openinfosecfoundation.org/issues/547" target="_blank">https://redmine.openinfosecfoundation.org/issues/547</a><br>
<br>
<br>
</div>For the record, I just spent a few minutes and integrated this into Bro and ran it on some real world traffic and this isn't good.  There are a lot of false positives.  It's probably another one of those things that tends to work fine if you run it on your own server, but when you're watching general internet traffic it starts showing some flaws.<br>

<br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro.org/" target="_blank">http://www.bro.org/</a><br>
<br>
</blockquote></div><br></div>