marcos de prueba WAF

Navega tus respuestas
2

¿Cómo probar la efectividad de un Servidor de seguridad de aplicaciones web (WAF), o cualquier otro control de seguridad que se implementa para proteger la aplicación web de ataques? Actualmente, ¿cuáles son las diferentes metodologías de prueba de seguridad que se pueden aplicar para probar Firewall de aplicaciones web? Pude encontrar un marco de prueba WAF gratuito desarrollado por Imperva, que genera tráfico para probar cómo WAF maneja el tráfico legítimo e ilegítimo para obtener falsos positivos. Creo que esta técnica está limitada a la capacidad del generador de tráfico. ¿Es esta la única manera de probar WAF?

    
pregunta Ali Ahmad 10.08.2013 - 13:42
fuente

1 respuesta

4

Para probar correctamente su dispositivo y sitio web, me gustaría involucrar a algunos pentesters y entregarles el conjunto de reglas que está utilizando actualmente. Esto les ayudará a intentar crear cargas maliciosas personalizadas que atravesarían el WAF para el cual puede crear reglas adicionales.

También les haría probar la aplicación que está protegiendo sin un WAF, ya que esto solo probará la seguridad de su aplicación. (Un WAF no es un milagro para proteger una aplicación web mal protegida)

Si no tiene un presupuesto, eche un vistazo a Burp (no es gratis) o ZAP y reúna algunas cargas útiles personalizadas de Internet para difuminar su aplicación.

    
respondido por el Lucas Kauffman 10.08.2013 - 15:49
fuente

Lea otras preguntas en las etiquetas

Autenticación básica extendida Eliminación / cifrado de archivos temporales