问AWS WAF日志利用率+ Web应用程序渗透测试

EN

我想说的是，AWS WAF (或任何WAF)并不能很好地指示您应该执行哪种类型的测试。确定五分测试的范围和类型是合格的五分测试人员或咨询人员应该做的最重要的第一步之一。

关于WAF的话题，我也想说它们不是真正的手动测试的一个很好的指示器。虽然AWS WAF很擅长捕获SQL注入和XSS测试用例，但它不能检测参数篡改攻击。

因此，虽然它可以创建可能检测扫描的警报，但它可能无法检测到微妙的人为驱动的测试用例(这通常更危险)。

要检测真正的pentest测试用例，在应用程序层添加插装始终是最有价值的。这样，您就可以在用户尝试访问属于其他用户的页面或对象时创建警报。

另请考虑，如果您在应用程序层创建这些警报，则可以包含更多有价值的数据点，如用户和IP地址。这将在由internet上的随机扫描器创建的警报和由经过身份验证的用户创建的警报之间提供有价值的区别。