Genel protokolleri kullanarak gerçekleşen sızma işlemlerinin tespiti için NIDS sistemleri yeterlidir.Fakat web uygulamalarının karmaşıklığı ve maruz olabileceği birçok değişik saldırıdan dolayı yanlış uyarı mesajları almadan web saldırılarının tespiti oldukça zordur.Bu özellikle SSL kullanan web uygulamaları için geçerlidir,çünkü NIDS in bu protokolde gerçekleşen trafiği şifresiz olarak okuması oldukça zordur.Bu problemleri aşmanın bir yoluda saldırı tespit sistemini doğrudan web sunucusunun üzerine gömmektir.Bu işlem tam olarak Apache (http://www.apache.org) sunucusu üzerinde çalışan mod_security (http://www.mod_security.org) uygulamasının yaptığı iştir.
Mod_security ismindende anlaşılacağı gibi Apache web sunucusunun güvenliğini istemcinin gerçekleştirdiği çeşitli istekler için çeşitli filtreler uygulayarak çalışan bir Apache modülüdür,mod_security ayrıca gelen isteklerin normalleştirilmesini sağlayan birçok düzgünlük kontrollerini yapar.Düzgün bir şekilde ayarlanmış süzgeç kuralları ile mod_security dizin gezinimi,siteler arası betik yazma saldırıları ,SQL enjeksiyonları ve hafıza taşırma açıklıklarını engeller.
Mod_security nin kurulması için kaynak kodu indirilir ve bir dizine açılır.Eğer DSO olarak kurulması istenirse apxs programından yararlanılır.İlk başta kaynak kodunda sizin kullandığınız Apache dizinine girilir ve daha sonra şu komut çalıştırılır.

# apxs -cia mod_security.c

Bu komut mod_security i derleyerek Apache programının başlangıcı sırasında bu modülü de başlangıcına eklemesi sağlanacaktır.Eğer mod_security modülünü statik olarak derlemek istiyorsanız Apache yi tekrar derlemeniz gerekmektedir.Apache 1.x sürümlerini kullanıyorsanız mod_security programını mod_security.c dosyasını src/modules/extra dizinine kopyalayarak ve apache yapılandırma betiğine şu satırları vermeniz yeterli olur.
--activate-modules=src/modules/extra/mod_security
-- enable-module=securitymod security programı kurulduğuna göre artık aktif hale getirebilirsiniz.Bunu httpd.conf dosyasına şu satırları ekleyerek yapabilirsiniz.
<IfModule mod_security.c>
SecFilterEngine On
</IfModule> Böylece web sunucunuza yapılan tüm isteklerin normalleştirme işlemi mod_security tarafından yapılmaya başlanacaktır.Ayrıca SecFilterEngine değişkenine DynamicOnly parametresini vererek sadece dinamik içeriğin mod_security tarafından işlenmesi sağlanabilir.mod_security aktif hale getirildikten sonra web sunucunuza gelen bütün trafiği kullanıcı tarafından belirtilmiş filtrelere göndermeden önce kendi üzerine alacak bu trafik üzerinde birçok kontrol işlemleri gerçekleştirecek ve en sonunda bu isteğin kabul edilip edilmeyeceğine karar verecektir.Bu normalleştirme kontrolleri sırasında mod_security programı birçok zararlı karakterleri normal hale getirecektir.Mesela // ve /./ karakterleri / ne ,Windows ta \ karakteri / karakterine dönüştürülecektir.Ek olarak URL kodlanmış karakterlerin kodları çözülecektir.Bütün bunlara ek olarak mod_security POST yöntemi ile gönderilen isteklerin içine bakacak ve bu istekler içindeki URL kodlamasın ve evrensel kodlamaların geçerliliğini denetleyecektir.
Bu satırları etkinleştirmek için şu satırlar httpd.conf dosyasına eklenir:
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding On URL kodlamaları ile % karakteri ile ön eklenmiş onaltılık sayı (0-9 ve A-F arası karakterlerden oluşur) düzenine dönüştürülmüş haldeki isteklerin yapılmasına izin verir.URL kodlama işinin doğrulanması aktif hale getirildiğinde mod_security URL kodlama yapılmış karakterlerin onaltılık sayı düzeni dışında gönderilmemesini sağlar.Evrensel kod doğrulaması işlemi sırasında gelen isteklerin evrensel kodlama dışına çıkmaması garanti altına alınmış olur.Evrensel kodlama işlemi işletim sisteminiz bu kodlamayı destekliyor ve uygulamalarınız bu kodlamayı kullanıyorsa yararlı olur.