OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。
为此,OWASP组织编写整理《OWASP WEB应用防火墙测评基准》,该基准是目前全球最全面的针对WEB应用防火墙的认证,覆盖了WAF产品测试的各个方面,从检测能力、防御能力、性能、自身安全、易用性等多个方面的综合测试。获取该认证说明WAF产品其安全性和可信性就越高,产品也更符合WEB网站安全防护要求,同时也适用更高级别的风险环境。
参考
Building the WAF test harness | Fastly
Imperva Web Application Firewall (WAF) | App & API Protection
https://www.nsslabs.com/index.cfm/research-advisory/library/content-security/web-application-firewalls/waf-test-methodology-v6-2/waf-test-methodology-v6-2/
https://github.com/fastly/ftw
什么是CSR规则
ModSecurity是一个免费、开源的Web(apache、nginx、IIS)模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击
OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则,可以根据自己的需求选择不同的规则,当然ModSecurity还有商用的规则
OWASP规则集: https://github.com/SpiderLabs/owasp-modsecurity-crs