Webアプリケーションファイアウォール (WAF)が VirusTotal に相当するかどうか疑問に思っています。たとえば、注入文字列、エクスプロイト、またはxssをスローできるサイトで、さまざまなWAFのデフォルト設定が何を検出するかがわかります。
ModSecurity のサイトがあることは知っていますが、自分でセットアップして実験することができますが、商用サービスをカバーして、動作方法を体験できるサイトが欲しいです。
seclist.org からの質問
そのようなサイトは知らない。 WAFはアンチウイルスなどのシグネチャに基づいてブロックすることがないため、このようなサイトが存在する可能性は低いです。
WAFが正しく機能するように構成する必要があります。入力フィールドごとに、そのフィールドに何を含めることができるかをWAFに通知する必要があります。数字ですか?アルファフィールド?または、引用符、コンマ、ダッシュ、セミコロンなどの任意の文字を含めることができますか?
WAFを構成する1つの方法は、WAFを学習モードにして、一般的な入力フィールドを監視できるようにすることです。 「articleId =」フィールドで送信されているのが数値のみであることがわかった場合は、数値ではないものはすべて除外する必要があることがわかります。
言い換えれば、「Webアプリケーションファイアウォール」は「ファイアウォール」に非常によく似ており、「アンチウイルス」や「侵入防止システム」にはあまり似ていません。