Структуры тестирования WAF


2

Как проверить эффективность брандмауэра веб-приложений (WAF) или любого другого элемента управления безопасностью, который применяется для защиты веб-приложения от нападения? В настоящее время, каковы различные методологии тестирования безопасности, которые могут применяться для тестирования брандмауэра веб-приложений? Я смог найти бесплатную платформу тестирования WAF, разработанную Imperva, которая генерирует трафик, чтобы проверить, как WALF обрабатывает законный и незаконный трафик для ложных срабатываний. Я думаю, что этот метод ограничен возможностями генератора трафика. Это единственный способ проверить WAF?

4

Для правильной проверки вашего устройства и веб-сайта я бы привлек к себе некоторых пенттеров и передал их по набору правил, который вы используете в настоящее время. Это поможет им в создании пользовательских вредоносных полезных нагрузок, которые будут проходить через WAF, для чего вы сможете создавать дополнительные правила.

Я бы также попросил их проверить приложение, которое вы защищаете без WAF, так как это будет чисто проверять безопасность вашего приложения. (WAF - это не чудо для защиты плохо защищенного веб-приложения)

Если у вас нет бюджета, посмотрите на Burp (не бесплатно) или ZAP и соберите некоторые пользовательские полезные данные из Интернета, чтобы путать ваши приложение с.