OWASP被視爲Web應用安全領域的權威參考,在2009年發佈的美國國家和國際立法、標準、準則、委員會和行業實務守則參考引用了OWASP。美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP十大WEB弱點防護守則。國際信用卡數據安全技術PCI標準更將其列爲必要組件。OWASP組織爲英國GovCERTUK提供SQL注入參考和爲歐洲網絡與信息安全局(ENISA), 雲計算風險評估參考。OWASP TOP 10爲IBM APPSCAN、HP WEBINSPECT等掃描器漏洞參考的主要標準。
爲此,OWASP組織編寫整理《OWASP WEB應用防火牆測評基準》,該基準是目前全球最全面的針對WEB應用防火牆的認證,覆蓋了WAF產品測試的各個方面,從檢測能力、防禦能力、性能、自身安全、易用性等多個方面的綜合測試。獲取該認證說明WAF產品其安全性和可信性就越高,產品也更符合WEB網站安全防護要求,同時也適用更高級別的風險環境。
參考
https://www.fastly.com/blog/building-waf-test-harness
https://www.imperva.com/lg/lgw_trial.asp?pid=483
什麼是CSR規則
ModSecurity是一個免費、開源的Web(apache、nginx、IIS)模塊,可以充當Web應用防火牆(WAF)。ModSecurity是一個入侵探測與阻止的引擎.它主要是用於Web應用程序所以也可以叫做Web應用程序防火牆.ModSecurity的目的是爲增強Web應用程序的安全性和保護Web應用程序避免遭受來自已知與未知的攻擊
OWASP是一個安全社區,開發和維護着一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS)。ModSecurity之所以強大就在於OWASP提供的規則,可以根據自己的需求選擇不同的規則,當然ModSecurity還有商用的規則
OWASP規則集: https://github.com/SpiderLabs/owasp-modsecurity-crs