Attualmente ho implementato ModSecurity come proxy inverso per fornire sicurezza a livello di applicazione. Ora voglio scrivere regole specifiche per l'applicazione per tutte le applicazioni Web che sto proteggendo, ad esempio, il modello di sicurezza positivo / negativo per l'applicazione Web. La mia domanda e i miei dubbi sono
Esiste un modello per la scrittura di profili di sicurezza per l'applicazione Web con i criteri di sicurezza relativi a parametri specifici dell'applicazione, intestazioni specifiche dell'applicazione e struttura dell'applicazione? In breve, utilizzando questo profilo, voglio scrivere la regola WAF e tenere traccia delle modifiche, ad esempio se l'applicazione Web è stata migliorata con alcune nuove funzionalità, allora quali sono i rischi. Voglio anche condividere questo profilo con il mio cliente per la conformità.