O OWASP Core Ruleset contém um conjunto chamado slr_rules que são criados pela SpiderLabs Research para proteger contra vulnerabilidades conhecidas. Essas regras não são ativadas na configuração padrão.
Existem arquivos separados para PHPBB, Joomla e Wordpress, assim como arquivos que abrangem ataques XSS, RFI, LFI e SQL nesses e em muitos outros aplicativos populares da web. O Mambo está incluído nesta lista.
Muitas das regras têm um identificador incluído que pode informar onde a vulnerabilidade foi anunciada e / ou documentada. As tags aparecem assim:
tag:'bugtraq,33103'
tag:'url,www.milw0rm.com/exploits/4026'
tag:'url,www.securityfocus.com/bid/36741/'
tag:'cve,CVE-2007-2825'
tag:'url,www.inliniac.net/blog/?p=71'
tag:'url,www.osvdb.org/34164'
tag:'url,www.owasp.org/index.php/PHP_File_Inclusion'
A Trustwave também publica muitas pesquisas interessantes no blog do SpiderLabs e isso geralmente inclui as regras mod_security para bloquear ameaças específicas que eles detectaram seus honeypots.
Você também pode ter alguma sorte procurando nos fóruns e bancos de dados de rastreamento de bugs dos aplicativos web em questão. Eles são as pessoas com o melhor incentivo para criar regras mod_security para seus próprios aplicativos.