Structures de test WAF


2

Comment tester l'efficacité d'un pare-feu d'applications Web (WAF) ou tout autre contrôle de sécurité mis en place pour protéger l'application Web contre les attaques? Actuellement, quelles sont les différentes méthodologies de test de sécurité qui peuvent être appliquées pour tester Web Application Firewall? J'ai pu trouver un framework de test WAF gratuit développé par Imperva, qui génère du trafic pour tester comment le trafic légitime et illégitime est géré par WAF pour les faux positifs. Je pense que cette technique est limitée à la capacité du générateur de trafic. Est-ce la seule façon de tester WAF?

4

Pour tester correctement votre appareil et votre site Web, j'aurais besoin de certains pentesters et je les remettrais au jeu de règles que vous utilisez actuellement. Cela les aidera à essayer de créer des charges utiles malveillantes personnalisées qui traverseront le WAF pour lequel vous pourrez ensuite créer des règles supplémentaires. Je voudrais également leur faire tester l'application que vous protégez sans WAF, car cela ne fera que tester la sécurité de votre application. (Un WAF n'est pas un miracle pour protéger une application web mal sécurisée)

Si vous n'avez pas de budget, jetez un oeil à Burp (non gratuit) ou à ZAP et récupérez vous-même des charges utiles personnalisées sur Internet pour fuzz votre application avec.