Mi chiedo se esiste un firewall per applicazioni Web (WAF) equivalente a VirusTotal ? Un sito in cui posso lanciare per esempio stringhe di injection, exploit o xss, e mi dirà quali saranno le impostazioni di default per i vari WAF in grado di rilevare.
So che esiste il sito ModSecurity che potrei creare da solo e sperimentare, ma mi piacerebbe uno che copre le offerte commerciali così posso avere un po 'di esperienza con il loro modo di lavorare.
Domanda tratta da seclist.org
Non conosco questo sito. È improbabile che un tale sito esista, perché i WAF non bloccano le cose sulla base di firme come l'anti-virus.
I WAF devono essere configurati per funzionare correttamente. Per ogni campo di input, devi dire al WAF cosa può contenere quel campo. È un numero? Un campo alfa? Oppure può contenere caratteri arbitrari, tra virgolette, virgole, trattini, punto e virgola?
Un modo per configurare un WAF è metterlo in modalità di apprendimento, in modo che possa guardare i campi di input tipici. Se vede che solo i numeri vengono inviati nel campo "articleId=", allora sa che probabilmente dovrebbe filtrare tutto ciò che non è un numero.
In altre parole, un "firewall per applicazioni web" è molto più simile a un "firewall" e molto meno come un "anti-virus" o un "sistema di prevenzione delle intrusioni".
Leggi altre domande sui tag web-application appsec waf