web-dev-qa-db-ja.com

WAFテストフレームワーク

Webアプリケーションファイアウォール(WAF)、またはWebアプリケーションが攻撃されないように保護するために導入されているその他のセキュリティ制御の有効性をテストする方法現在、Webアプリケーションファイアウォールのテストに適用できるさまざまなセキュリティテスト方法は何ですか? Impervaによって開発された無料のWAFテストフレームワークを見つけることができました。このフレームワークは、トラフィックを生成して、WAFが正当なトラフィックと不正なトラフィックをどのように処理するかをテストし、誤検知を検出します。この手法はトラフィックジェネレーター機能に限定されていると思います。これがWAFをテストする唯一の方法ですか?

2
Ali Ahmad

アプライアンスとWebサイトを適切にテストするために、何人かのペンテスターを関与させ、現在使用しているルールセットを渡してもらいます。これは、追加のルールを作成できるWAFを通過するカスタムの悪意のあるペイロードを作成しようとするユーザーを支援します。

また、アプリケーションのセキュリティを純粋にテストするため、WAFなしで保護しているアプリケーションをテストすることもできます。 (WAFは、セキュリティが不十分なWebアプリケーションを保護する奇跡ではありません)

予算がない場合は、Burp(無料ではない)またはZAPを調べ、インターネットからカスタムペイロードを収集して、アプリケーションをファズします。

4
Lucas Kauffman