如果您已经拥有端到端测试，UI测试或其他与真实最终用户相似的测试，请考虑在开发生命周期的早期阶段向这些测试添加Web应用程序防火墙（WAF）。它不会花费太多时间，您将获得许多额外的安全性和其他好处。

理想情况下，您已经对Web应用程序进行了测试。如果没有，请创建它们。然后使用相同的测试来确定您是否仍然在应用程序前面使用WAF具有完整的应用程序功能。您的测试仍应成功，并且您的ModSecurity日志应为空 - 这意味着您的测试不会触发WAF规则。

作为WAF ModSecurity的OWASP核心规则集（CRS）的共同开发者，我觉得分享如何将WAF引入DevOps非常重要。我希望通过自动化WAF测试来减少对WAF的恐惧。

以下是如何确保您的团队使用WAF顺利进行。

什么是WAF？

传统防火墙在TCP或IP网络层工作，而WAF在应用层阻止攻击。它有助于保护您免受Web应用程序攻击，并在您的应用程序前创建一个安全网。你需要它，因为你永远不能相信你的代码100％。

不幸的是，WAF也可能阻止合法流量，导致误报和生产问题。只有当所有组件都是DevOps /测试/自动化管道的一部分时，DevOps，测试和自动化才有意义。让一切都完全自动化并经过测试是没有意义的，然后在生产中将WAF放在您的应用程序前面。使WAF成为您测试的一部分。

如果您在开发周期的早期开始使用Web应用程序测试WAF，则可以确保Web应用程序正常运行。 WAF可以帮助防止Web应用程序攻击，例如SQL注入，跨站点脚本，对HTTP协议的攻击以及其他威胁。 WAF不会阻止所有攻击，但它使攻击者更难以利用漏洞。

以下是您的测试工具所需的工具。

ModSecurity WAF

ModSecurity是一种流行的WAF，可用作NGINX，Apache或IIS模块。 ModSecurity是引擎，它需要规则来检查每个HTTP请求和响应。

这就是CRS的用武之地。它主要由正则表达式组成，它为每个请求决定它是合法的，攻击还是信息泄漏。 ModSecurity和CRS都是免费提供的开源软件，并且拥有出色的社区支持。

OWASP DevSlop的Pixi

OWASP DevSlop代表“草率的DevOps”。该项目的目标是使用几个示例管道，博客文章，YouTube频道等展示DevSecOps。

DevSlop由不同的模块和管道组成。有些可以作为DevSecOps如何完成的一个例子。它的一些应用程序或模块可以作为试验Web应用程序攻击或使用ModSecurity和CRS的游乐场。

Pixi是DevSlop项目中许多计划应用程序中的第一个。您可以使用这个故意易受攻击的Web应用程序来试验Web应用程序攻击。当Pixi受CRS（另一个DevSlop模块）保护时，示例Web应用程序攻击不再成功。

TestCafe

您可以使用TestCafe的开源版本来测试Web应用程序，同时模拟用户的使用方式，您也可以使用相同的测试来测试您的WAF。

具体来说，您可以测试在应用程序前是否仍具有WAF的完整应用程序功能，以及ModSecurity日志是否仍为空。

设置管道

手动测试WAF是一个枯燥且容易出错的过程。相反，使用自动端到端测试在前面测试带有WAF的Pixi应用程序。您不必再关心测试了：每次将Web应用程序代码提交到存储库时，一切都会自动启动并运行。

获取您的WAF

使用正确的工具和软件，您可以在其前面使用WAF测试任何Web应用程序，并自动执行此操作。

这不仅适用于WAF专家。只要你测试它，WAF就是每个人的朋友。这是您抵御网络攻击的第一层防线。它是开源的，免费的，并创建了其他可能性，如虚拟补丁，扩展日志记录和监控。你绝对应该在测试和生产中使用WAF。

原文：https://techbeacon.com/security/what-you-should-know-about-web-application-firewall-testing

本文：http://pub.intelligentx.net/what-you-should-know-about-web-application-firewall-testing

讨论：请加入知识星球或者小红圈【首席架构师圈】