Koza za płotem
Dalej w temacie WAF. Rolę kozy pełni WebGoat, a w roli płotu występuje mod_security, czyli: OWASP Securing WebGoat using ModSecurity Project.
Projekt jest realizowany w ramach OWASP Summer of Code 2008, a jego celem jest stworzenie takiego zestawu reguł, który załata tak dużo podatności w WebGoat , jak to tylko możliwe (cel to 90%25).
Mnie osobiście interesowałoby inne badanie: ile (procent) podatności jest blokowanych przez mod_security z zestawem core rules oraz ile zmian należy wprowadzić do tego zestawu reguł, by aplikacja działała poprawnie funkcjonalnie. Cel eksperymentu – odpowiedź na pytanie jak przedstawia się typowa złożoność zastosowania mod_security dla prostych aplikacji produkcji agencji interaktywnych i jaka jest (oczekiwana) wartość dodana zastosowania dodatkowej warstwy ochrony w postaci WAF (mod_security).
Oryginał tego wpisu dostępny jest pod adresem Koza za płotem
Autor: Paweł Goleń