Probar la configuración del Firewall de la aplicación web (ModSecurity)

Aunque a algunos proveedores les gustaría que piensen que un WAF es: (a) un requisito y (b) una caja negra que puede descargar delante de su aplicación web para protegerla de todos los ataques posibles, realmente no lo hace t trabajar de esa manera. Una configuración WAF no es binaria 'segura' o 'insegura'; simplemente será más o menos eficaz para abordar formas particulares de ataque.

Por lo tanto, debes tener una idea de qué ataques estás tratando de prevenir para poder probarlos. ¿Está intentando protegerse contra las solicitudes HTTP mal formadas? Prueba. ¿Estás tratando de contrarrestar las secuencias UTF-8 no válidas? Pruébalo. ¿Hay una vulnerabilidad de aplicación específica que está intentando bloquear en el WAF como medida temporal porque todavía no puede arreglar la aplicación? (Esto es por lo que son realmente buenos los WAF).

(¿Está tratando de protegerse contra la inyección de SQL a nivel de la aplicación al filtrar la palabra 'SELECCIONAR'? Entonces está perdiendo el tiempo. Hay muchas reglas como esta en el CRS mod_security que son bastante completamente falso.)

Puede ejecutar un escáner de seguridad web en su sitio web y ver qué vulnerabilidades aún aparecen en el informe. Hay varias ofertas por ahí, algunas son herramientas de escritorio y otras son SaaS: Acunetix, Cenzic, Qualys, White Hat, IBM AppScan, HP WebInspect.

Mejor aún, si puede permitírselo, contrate a un pen-tester para que realice una auditoría de seguridad del sitio web. Si la configuración de WAF es demasiado compleja o requiere mucho tiempo, recomendaría buscar soluciones WAF basadas en la nube como Incapsula o CloudFlare.

Una forma sencilla puede ser utilizar herramientas de prueba disponibles, como sqlmap, sqlninja for SQL Injections y XSSer for XSS attack vectors. Si alguno de los vectores no fue detectado por el conjunto de reglas actualizado, entonces usted está en problemas. Corrige el conjunto de reglas en consecuencia.