Domande con tag 'waf'

2
risposte

Quali sono i possibili problemi di sicurezza nell'abilitazione di HTTP2?

Voglio abilitare HTTP2 per diversi server Web, ma sono preoccupato per le possibili implicazioni sulla sicurezza. Penso a qualcosa del tipo: Le implementazioni HTTP2 sono forse più inclini agli errori rispetto alle implementazioni HTTP1 matu...
posta 12.07.2017 - 08:34
9
risposte

È necessario un firewall per applicazioni Web se l'applicazione è sicura?

Recentemente ho letto dei firewall delle applicazioni Web e del fatto che proteggono dagli attacchi più frequenti come iniezioni, XSS o CSRF. Tuttavia, un'applicazione buona dovrebbe essere già immune da questi exploit, quindi perché le a...
posta 20.03.2014 - 17:46
1
risposta

Che cos'è un firewall per applicazioni Web?

Che cos'è un firewall per applicazioni Web (WAF) e quali sono alcune delle cose da cercare in una soluzione efficace? Perché dovresti distribuire un WAF anziché solo un IPS?     
posta 16.11.2010 - 23:05
1
risposta

Che cos'è un "Trailing Host Header" e come posso testarlo?

Il mio team ha svolto alcune ricerche sulle protezioni WAF basate su uno strumento di test WAF pubblicato quest'anno su Black Hat. Nello strumento, c'è un elenco di test di evasione degli hostname - che sono davvero solo uno schema di idee p...
posta 17.08.2012 - 21:37
5
risposte

Formazione sulla sicurezza delle applicazioni per gli sviluppatori [chiusa]

Sto provando a stabilire un gruppo di sicurezza delle applicazioni all'interno di un'organizzazione e sebbene ci sia una miriade di corsi per i penetration tester, non riesco a trovare una quantità uguale di corsi di formazione per sviluppatori...
posta 26.10.2012 - 01:46
3
risposte

Come iniziare a utilizzare ESAPI WAF?

Sono stato nella pagina Google Gruppi di OWASP Enterprise Security API (Java Edition) e ho trovato questa informazione mancante.     
posta 12.11.2010 - 18:35
2
risposte

Quando si esegue un PenTest su un sito protetto da WAF, cosa dovrebbe sapere un Pentestore per migliorare la qualità del test?

Gestisco una WAF di fronte a un mucchio di Webapps e abbiamo testato regolarmente le App e vogliamo migliorare i nostri Test presentando una sorta di livelog ai tester. Quali informazioni, da Server-View, potrebbero aiutare i Pentesters? L'ob...
posta 09.07.2013 - 10:45
4
risposte

Perché dovrei usare la whitelist su un WAF?

Stavo studiando WAF diversi, da open-source (come ModSecurity e NAXSI) a soluzioni commerciali (Imperva, Citrix, Fortinet, ecc.). Molte persone affermano che avere un WAF basato su whitelist è molto più efficiente della lista nera. Fondamenta...
posta 21.01.2015 - 14:21
3
risposte

Tecniche di evasione per i WAF

Esistono tecniche documentate per eludere il firewall delle applicazioni Web per testare le configurazioni delle regole WAF?     
posta 09.08.2012 - 11:04
1
risposta

Esiste un firewall per applicazioni web equivalente a virustotal?

Mi chiedo se esiste un firewall per applicazioni Web (WAF) equivalente a VirusTotal ? Un sito in cui posso lanciare per esempio stringhe di injection, exploit o xss, e mi dirà quali saranno le impostazioni di default per i vari WAF in grado di...
posta 07.06.2011 - 23:16