【安全运营】您应该了解的Web应用程序防火墙测试
如果您已经拥有端到端测试,UI测试或其他与真实最终用户相似的测试,请考虑在开发生命周期的早期阶段向这些测试添加Web应用程序防火墙(WAF)。它不会花费太多时间,您将获得许多额外的安全性和其他好处。
理想情况下,您已经对Web应用程序进行了测试。如果没有,请创建它们。然后使用相同的测试来确定您是否仍然在应用程序前面使用WAF具有完整的应用程序功能。您的测试仍应成功,并且您的ModSecurity日志应为空 - 这意味着您的测试不会触发WAF规则。
作为WAF ModSecurity的OWASP核心规则集(CRS)的共同开发者,我觉得分享如何将WAF引入DevOps非常重要。我希望通过自动化WAF测试来减少对WAF的恐惧。
以下是如何确保您的团队使用WAF顺利进行。
什么是WAF?
传统防火墙在TCP或IP网络层工作,而WAF在应用层阻止攻击。它有助于保护您免受Web应用程序攻击,并在您的应用程序前创建一个安全网。你需要它,因为你永远不能相信你的代码100%。
不幸的是,WAF也可能阻止合法流量,导致误报和生产问题。只有当所有组件都是DevOps /测试/自动化管道的一部分时,DevOps,测试和自动化才有意义。让一切都完全自动化并经过测试是没有意义的,然后在生产中将WAF放在您的应用程序前面。使WAF成为您测试的一部分。
如果您在开发周期的早期开始使用Web应用程序测试WAF,则可以确保Web应用程序正常运行。 WAF可以帮助防止Web应用程序攻击,例如SQL注入,跨站点脚本,对HTTP协议的攻击以及其他威胁。 WAF不会阻止所有攻击,但它使攻击者更难以利用漏洞。
以下是您的测试工具所需的工具。
ModSecurity WAF
ModSecurity是一种流行的WAF,可用作NGINX,Apache或IIS模块。 ModSecurity是引擎,它需要规则来检查每个HTTP请求和响应。
这就是CRS的用武之地。它主要由正则表达式组成,它为每个请求决定它是合法的,攻击还是信息泄漏。 ModSecurity和CRS都是免费提供的开源软件,并且拥有出色的社区支持。
OWASP DevSlop的Pixi
OWASP DevSlop代表“草率的DevOps”。该项目的目标是使用几个示例管道,博客文章,YouTube频道等展示DevSecOps。
DevSlop由不同的模块和管道组成。有些可以作为DevSecOps如何完成的一个例子。它的一些应用程序或模块可以作为试验Web应用程序攻击或使用ModSecurity和CRS的游乐场。
Pixi是DevSlop项目中许多计划应用程序中的第一个。您可以使用这个故意易受攻击的Web应用程序来试验Web应用程序攻击。当Pixi受CRS(另一个DevSlop模块)保护时,示例Web应用程序攻击不再成功。
TestCafe
您可以使用TestCafe的开源版本来测试Web应用程序,同时模拟用户的使用方式,您也可以使用相同的测试来测试您的WAF。
具体来说,您可以测试在应用程序前是否仍具有WAF的完整应用程序功能,以及ModSecurity日志是否仍为空。
设置管道
手动测试WAF是一个枯燥且容易出错的过程。相反,使用自动端到端测试在前面测试带有WAF的Pixi应用程序。您不必再关心测试了:每次将Web应用程序代码提交到存储库时,一切都会自动启动并运行。
获取您的WAF
使用正确的工具和软件,您可以在其前面使用WAF测试任何Web应用程序,并自动执行此操作。
这不仅适用于WAF专家。只要你测试它,WAF就是每个人的朋友。这是您抵御网络攻击的第一层防线。它是开源的,免费的,并创建了其他可能性,如虚拟补丁,扩展日志记录和监控。你绝对应该在测试和生产中使用WAF。
原文:https://techbeacon.com/security/what-you-should-know-about-web-application-firewall-testing
本文:http://pub.intelligentx.net/what-you-should-know-about-web-application-firewall-testing
讨论:请加入知识星球或者小红圈【首席架构师圈】
- 65 次浏览