WAF测试框架


2

如何测试Web应用程序防火墙(WAF)或任何其他安全控制措施是否有效,以保护Web应用程序免受攻击?目前,有哪些不同的安全测试方法可用于测试Web应用防火墙?我能够找到由Imperva开发的免费WAF测试框架,该框架可生成流量来测试WAF是如何处理合法和非法流量的误报。我认为这种技术仅限于流量发生器的能力。这是测试WAF的唯一方法吗?

4

要正确测试您的设备和网站,我会得到一些测试人员,并将它们交给您当前使用的规则集。这将有助于他们尝试创建定制的恶意负载,这些恶意负载将穿越WAF,然后您可以创建其他规则。

我也会让他们测试你在没有WAF的情况下保护的应用程序,因为这将纯粹测试你的应用程序的安全性。 (一个WAF不是一个奇迹,以保护一个安全的Web应用程序)

如果你没有预算看看Burp(不是免费)或ZAP,并从互联网上收集一些自定义有效载荷来模糊你的应用程序。