AWS WAF 日志利用率 + Web 应用程序的渗透测试

Posted 2023-02-19

【中文标题】AWS WAF 日志利用率 + Web 应用程序的渗透测试

【英文标题】：AWS WAF Log Utilisation + Penetration Testing with Web Applications

【发布时间】：2021-12-17 02:29:13

【问题描述】：

AWS Web 应用程序防火墙如何帮助我确定应该对我的 Web 应用程序使用哪些渗透测试。一旦我可以访问 WAF 日志，我如何才能最好地利用它来识别渗透测试。

【参考方案1】：

我会说 AWS WAF（或任何 WAF）并不能很好地指示您应该进行哪种类型的渗透测试。确定渗透测试的范围和类型是合格的渗透测试人员或顾问应该做的最重要的第一步。

关于 WAF 的话题，我还要说它们并不是真正手动渗透测试的良好指标。虽然 AWS WAF 擅长捕获 SQL 注入和 XSS 测试用例，但它无法检测参数篡改攻击。

因此，虽然它可以创建可能检测到扫描的警报，但它可能无法检测到微妙的人为驱动的测试用例（通常更危险）。

要检测真正的渗透测试用例，在应用层添加检测总是最有价值的。这样您就可以在用户尝试访问属于其他用户的页面或对象时创建警报。

另外考虑如果您在应用层创建这些警报，您可以包含更多有价值的数据点，例如用户和 IP 地址。这将在互联网上随机扫描器创建的警报和经过身份验证的用户创建的警报之间提供有价值的区别。

【讨论】：

感谢您提供的信息！提供了非常好的细节。