Framework di test WAF

Naviga le tue risposte
2

Come testare l'efficacia di un Web Application Firewall (WAF) o di qualsiasi altro controllo di sicurezza messo in atto per proteggere l'applicazione Web dall'attacco? Attualmente, quali sono le diverse metodologie di test di sicurezza che possono essere applicate per testare Web Application Firewall? Sono stato in grado di trovare un framework di test WAF gratuito sviluppato da Imperva, che genera traffico per verificare in che modo il traffico legittimo e illegittimo è gestito da WAF per i falsi positivi. Penso che questa tecnica sia limitata alla capacità del generatore di traffico. È questo l'unico modo per testare il WAF?

    
posta Ali Ahmad 10.08.2013 - 13:42
fonte

1 risposta

4

Per testare correttamente il tuo dispositivo e il tuo sito web, vorrei coinvolgere alcuni pentesters e consegnarli al set di regole che stai utilizzando. Ciò li aiuterà nel tentativo di creare payload dannosi personalizzati che attraverserebbero il WAF per il quale è possibile quindi creare regole aggiuntive.

Li farei anche testare l'applicazione che stai proteggendo senza un WAF, in quanto ciò metterà a dura prova la sicurezza della tua applicazione. (Un WAF non è un miracolo per proteggere un'applicazione web protetta male)

Se non hai un budget, dai un'occhiata a Burp (non gratuito) o ZAP e raccogli alcuni payload personalizzati da Internet per sfogare la tua applicazione.

    
risposta data 10.08.2013 - 15:49
fonte

Leggi altre domande sui tag

L'amministratore dovrebbe fare in modo che SMTP esegua controlli di integrità? È possibile firmare un certificato in modo che l'emittente sia diverso dal certificato della CA?