Me pregunto si hay un firewall de aplicación web (WAF) equivalente a VirusTotal ? Un sitio donde puedo lanzar, por ejemplo, cadenas de inyección, exploits o xss, y me dirá cuáles serán las configuraciones predeterminadas para diferentes WAFs.
Sé que existe el sitio ModSecurity que podría configurarme y experimentar, pero me gustaría uno que cubre las ofertas comerciales para que pueda obtener algo de experiencia con la forma en que funcionan.
Pregunta tomada de seclist.org
No conozco tal sitio. Es poco probable que exista un sitio de este tipo, porque WAF no bloquea las cosas en base a firmas como antivirus.
Los WAF deben estar configurados para funcionar correctamente. Para cada campo de entrada, debe decirle a la WAF qué puede contener ese campo. ¿Es un número? ¿Un campo alfa? ¿O puede contener caracteres arbitrarios, entre comillas, comas, guiones, punto y coma?
Una forma de configurar un WAF es ponerlo en modo de aprendizaje, para que pueda ver los campos de entrada típicos. Si ve que solo se están enviando números en el campo "articleId=", entonces sabe que probablemente debería filtrar todo lo que no sea un número.
En otras palabras, un "firewall de aplicación web" es mucho más como un "firewall" y mucho menos como un "antivirus" o "sistema de prevención de intrusos".
Lea otras preguntas en las etiquetas web-application appsec waf