Keamanan aplikasi web menghadapi tantangan yang semakin kompleks dengan meningkatnya serangan siber seperti SQL Injection, Cross-Site Scripting (XSS), Command Injection, serta berbagai teknik evasion yang dirancang khusus untuk menghindari mekanisme deteksi konvensional. ModSecurity sebagai Web Application Firewall (WAF) open-source telah banyak digunakan karena fleksibilitas dan integrasinya dengan OWASP Core Rule Set (CRS). Namun demikian, efektivitas ModSecurity sangat bergantung pada kualitas dan pembaruan rule set yang diimplementasikan. Penelitian ini bertujuan mengevaluasi performa ModSecurity versi 3 dengan CRS 4.19.0 dalam mendeteksi serangan modern menggunakan framework pengujian otomatis GoTestWAF. Pengujian dilaksanakan pada lingkungan terkontrol melalui analisis true-positive, true-negative, dan false-negative terhadap 816 payload berbahaya maupun legitimate. Hasil penelitian menunjukkan ModSecurity hanya mampu memblokir 45,44% dari total payload berbahaya, sementara 54,56% berhasil melewati perlindungan. Selain itu, 17,73% traffic aman salah diblokir (false positive), yang berpotensi mengganggu operasional aplikasi. Kelemahan terutama ditemukan pada payload berukuran besar, teknik obfuscation, encoding kompleks, dan struktur request non-standar. Secara keseluruhan, konfigurasi default CRS 4.19.0 pada paranoia level 1 belum memadai menghadapi serangan kontemporer. Optimalisasi diperlukan melalui peningkatan paranoia level, aktivasi optional rules, tuning aturan, dan penambahan custom rules. Penelitian ini memberikan kontribusi empiris bagi peningkatan implementasi WAF open-source pada aplikasi web masa kini.