Actualmente, he implementado ModSecurity como un proxy inverso para proporcionar seguridad de capa de aplicación. Ahora quiero escribir reglas específicas de la aplicación para todas las aplicaciones web que estoy protegiendo, es decir, Modelo de seguridad positivo / negativo para aplicaciones web. Mi pregunta y mis dudas son
¿Existe una plantilla para escribir perfiles de seguridad para la aplicación web, es decir, la política de seguridad con respecto a los parámetros específicos de la aplicación, los encabezados específicos de la aplicación y la estructura de la aplicación? En resumen, al usar este perfil, quiero escribir la regla WAF y hacer un seguimiento de los cambios, es decir, si la aplicación web está mejorada con algunas características nuevas, ¿cuáles son los riesgos? También quiero compartir este perfil con mi cliente para el cumplimiento.