测试Web应用程序防火墙配置(ModSecurity)

Question

当我部署了OWASP提供的核心规则集时，测试我的防火墙配置的最佳方法是什么？但是我的规则配置给了我太多的错误，我通过从核心规则集中删除许多规则来解决这个问题。现在我已经删除了一些有问题的规则，现在如何确保我的配置仍然安全。

Answer 1

尽管有些供应商希望您认为WAF是- (a)一个要求和(b)一个黑匣子，您可以在您的网页应用程序前，以保护它免受所有可能的攻击-它真的不能这样做。WAF配置不是二进制的‘安全’或‘不安全’；它只是或多或少地有效地解决了特定形式的攻击。

所以你需要知道你想要防止的攻击，这样你就可以测试这些攻击了。您是否试图防范格式错误的HTTP请求？试试吧。你想对抗无效的UTF-8序列吗？试试看。是否有一个特定的应用程序漏洞，您试图阻止在WAF作为一个临时措施，因为您还不能使应用程序修复？(这才是WAF真正的好处。)

(您是否试图通过筛选“SELECT”一词来防范应用程序级别的SQL注入？那你就是在浪费时间。在mod_security CRS中有很多这样的规则，它们都是完全虚假的。)

Answer 2

您可以针对您的网站运行web安全扫描程序，并查看报告中仍然出现哪些漏洞。有几种产品，有些是桌面工具，另一些是SaaS: Acunetix，Cenzic，Qualys，White Hat，IBM，HP WebInspect。

更好的是，如果你能负担得起的话，请一个笔试器来做网站的安全审计。如果配置WAF过于复杂或耗时，我建议您考虑一下基于云的WAF解决方案，如In荚A或CloudFlare。

Answer 3

一种简单的方法可能是使用现成的测试工具，如sqlmap、sqlninja用于SQL注入和XSSer用于XSS攻击向量。如果任何向量没有被更新的规则集捕获，那么您就有麻烦了。相应地修正规则集。