我想知道是否有相当于VirusTotal的Web 应用程序防火墙(WAF) ?一个我可以抛出例如注入字符串、漏洞利用或 xss 的站点,它会告诉我不同 WAF 的默认设置将检测到什么。
我知道那里有一个ModSecurity站点,我可以自己设置并进行试验,但我想要一个涵盖商业产品的站点,这样我就可以获得一些关于它们工作方式的经验。
问题来自seclist.org
是否有相当于 virustotal 的 Web 应用程序防火墙?
信息安全
应用安全
Web应用程序
华夫
2021-09-07 05:50:42
1个回答
我知道没有这样的网站。这样的网站不太可能存在,因为 WAF 不会根据防病毒等特征来阻止事情。
必须配置 WAF 才能正常工作。对于每个输入字段,您需要告诉 WAF 该字段可以包含什么。是数字吗?一个阿尔法字段?或者它可以包含任意字符,包括引号、逗号、破折号、分号?
配置 WAF 的一种方法是将其置于学习模式,以便它可以观看典型的输入字段。如果它看到“articleId=”字段中只发送了数字,那么它就知道它可能应该过滤掉任何不是数字的东西。
换句话说,“Web 应用程序防火墙”更像是“防火墙”,而不像“防病毒”或“入侵防御系统”。
其它你可能感兴趣的问题