Test della configurazione del firewall dell'applicazione Web (ModSecurity)

Sebbene alcuni venditori vorrebbero che pensassi che un WAF è - (a) un requisito e (b) una scatola nera puoi scaricarti davanti alla tua webapp per proteggerlo da tutti i possibili attacchi - davvero non lo fa lavorare in questo modo Una configurazione WAF non è binaria "sicura" o "insicura"; sarà più o meno efficace nell'affrontare particolari forme di attacco.

Quindi devi avere un'idea di quali attacchi stai cercando di prevenire in modo da poterli testare. Stai cercando di evitare richieste HTTP malformate? Provane alcuni. Stai cercando di contrastare sequenze UTF-8 non valide? Provalo. Esiste una vulnerabilità specifica dell'applicazione che stai cercando di bloccare nel WAF come misura temporanea perché non è ancora possibile ottenere l'applicazione corretta? (Questo è ciò per cui i WAF sono veramente buoni.)

(Stai cercando di evitare l'iniezione SQL a livello di applicazione filtrando la parola "SELECT"? Quindi stai praticamente perdendo tempo. Ci sono un sacco di regole come questa nel CRS mod_security che sono più o meno interamente falsi.)

È possibile eseguire uno scanner di sicurezza Web sul proprio sito Web e vedere quali vulnerabilità appaiono ancora nel report. Ci sono diverse offerte là fuori, alcuni sono strumenti desktop mentre altri sono SaaS: Acunetix, Cenzic, Qualys, White Hat, IBM AppScan, HP WebInspect.

Ancora meglio se puoi permettertelo, noleggia un pen-tester per fare un controllo di sicurezza del sito web. Se la configurazione del WAF è troppo complessa o dispendiosa in termini di tempo, ti consigliamo di consultare le soluzioni WAF basate su cloud come Incapsula o CloudFlare.

Un modo semplice potrebbe essere quello di utilizzare strumenti di test prontamente disponibili come sqlmap, sqlninja per SQL Injections e XSSer per i vettori di attacco XSS. Se uno qualsiasi dei vettori non è stato catturato dal set di regole aggiornato, allora sei nei guai. Correggi il set di regole di conseguenza.