Webアプリケーションファイアウォール構成のテスト(ModSecurity)
OWASPによって提供されるコアルールセットを展開したので、ファイアウォール構成をテストする最良の方法は何ですか。しかし、私のルール構成では、誤検知が多すぎて、コアルールセットから多くのルールを削除することで解決しました。 問題のあるルールをいくつか削除したので、構成がまだ安全であることを確認するにはどうすればよいですか。
一部のベンダーは、WAFが-(a)要件であり、(b)Webアプリの前にダンプして、考えられるすべての攻撃から保護できるブラックボックスであると考えてほしいと思っていますが、実際には機能しません。仕方。 WAF構成は、バイナリの「安全」または「安全でない」ではありません。特定の形態の攻撃に対処するのに多かれ少なかれ効果的です。
したがって、それらをテストできるように、防止しようとしている攻撃を把握する必要があります。不正な形式のHTTPリクエストから保護しようとしていますか?いくつか試してみてください。無効なUTF-8シーケンスに対抗しようとしていますか?試して。アプリケーションをまだ修正できないため、一時的な対策としてWAFでブロックしようとしている特定のアプリケーションの脆弱性はありますか? (これはWAFが本当に良いことです。)
(Word'SELECT 'を除外して、アプリケーションレベルのSQLインジェクションを防止しようとしていますか?そうすると、かなりの時間を無駄にします。mod_securityCRSには、このようなルールがたくさんあり、ほとんど完全に偽物です。 )
Webサイトに対してWebセキュリティスキャナーを実行して、レポートにまだ表示されている脆弱性を確認できます。 Acunetix、Cenzic、Qualys、White Hat、IBM AppScan、HP WebInspectなど、いくつかの製品があり、デスクトップツールもあれば、SaaSもあります。
余裕があれば、ペンテスターを雇ってWebサイトのセキュリティ監査を行ってください。 WAFの構成が複雑すぎるか時間がかかる場合は、IncapsulaやCloudFlareなどのクラウドベースのWAFソリューションを検討することをお勧めします。
簡単な方法の1つは、sqlmap、SQLインジェクション用のsqlninja、XSS攻撃ベクトル用のXSSerなどのすぐに利用できるテストツールを使用することです。更新されたルールセットによってベクトルが捕捉されなかった場合は、問題が発生しています。それに応じてルールセットを修正します。