WAFテストフレームワーク


2

Webアプリケーションファイアウォール(WAF)、またはWebアプリケーションを攻撃から保護するために設置されているその他のセキュリティコントロールの有効性をテストするにはどうすればよいですか?現在、Webアプリケーションファイアウォールのテストに適用できるさまざまなセキュリティテスト方法は何ですか?私はImpervaによって開発された、無料のWAFテストフレームワークを見つけることができました。このフレームワークは、正当で不正なトラフィックがWAFによって偽陽性としてどのように処理されるかをテストするトラフィックを生成します。私は、この技術はトラフィックジェネレータの能力に限られていると思います。これはWAFをテストする唯一の方法ですか?

4

アプライアンスとウェブサイトを適切にテストするために、私はいくつかのペンテスターを使用して、現在使用しているルールセットに渡します。これにより、WAFを通過するカスタムの悪意のあるペイロードを作成し、追加のルールを作成できるようになります。

あなたのアプリケーションのセキュリティを純粋にテストするため、WAFなしで保護しているアプリケーションをテストするようにします。

予算が足りない場合は、Burp(無料ではない)またはZAPを見て、インターネットからあなた自身をファズするためのカスタムペイロードを収集してください(あなたは無料のWebアプリケーションを保護するための奇跡ではありません)。アプリケーション。