WAF测试基准项目
本项目由ASC应用安全联盟发起!
Web应用防火测评基准
介绍
Web应用防火墙是通过一系列针对HTTP/https的安全策略来专门为web应用提供保护的产品,本文档描述了WEB应用防火墙产品(以下简称WAF)的测试参考标准。
WAF测评基准项目起源于OWASP2010测评项目,结合国内外安全测评的基准、Web安全测试方法、渗透测试的一系列资料,于2012年正式推出WAF测评基准。2019年发布第二版WAF测评基准。
版本信息
|
版本 |
发布时间 |
备注 |
|
V1.0 |
2012年 |
|
|
V2.0 |
2019年 |
对整体测试框架重新定义,在新型攻击、产品性能、产品安全性能做了全面的延伸及调整 |
Web应用防火测评基准V2.0
介绍
本文档在V1.0的基础上对整体测试框架重新定义,在新型攻击、产品性能(增值服务)、产品安全性能做了全面的拓展。V1.0版本主要以传统漏洞及类基础网络防火墙等功能为主,V2.0版本在此基础上进行删减和优化,增加了以OWASP TOP 2017 为主延伸出业务逻辑层防护、绕过防御多维度评级等。除本文件的特别要求外,除非另有说明,在安装和配置的过程中,所测试的Web应用防火墙产品必须符合本文档的要求,同时产品在安装前后及整个过程中都必须符合要求。
评估方法
|
安全有效性评估(SE) |
本项测试主要基于OWASP TOP 10风险延伸出全面的安全漏洞防护测试,被测系统需要对从传统漏洞到业务逻辑层多维度的各类安全漏洞给予有效防护。 |
40% |
|
安全性能评估(PE) |
在识别安全漏洞保护Web应用时,被测系统应能够全面保障自身安全性,并需同时满足准确率和误报率。 |
25% |
|
可靠性评估 (SR) |
通过特定环境、在特定时间内,检测被测系统执行指定功能的稳定性。 |
20% |
|
可管理性评估 (M) |
对被测设备进行架构设计、联动性、容错性、拓展性等测试。 |
15% |
项目组(排名不分先后,按拼音顺序排序)
|
北京长亭科技有限公司 |
北京启明星辰信息安全技术有限公司 |
|
北京神州绿盟科技有限公司 |
深圳开源互联网安全技术有限公司 |
|
四川虹微技术有限公司 |
厦门服云信息科技有限公司 |
参考资料
《Nsslab WAF 测评标准》
《OWASP Web Application Firewall Certification Criteria》
Web应用防火测评认证2.0_实施规则
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
WEB应用防火墙测评基准
项目简介:
审核各测试类别的合理性,完善各种测试环境,测试方法
1、检测引擎
2、功能测试
3、超负荷下性能(未配置安全策略)
4、 负载下的性能(配置安全策略)
5、 延迟和用户响应时间
6. 稳定性和可靠性
7. 管理和配置
8. 并行管理会话(条件限制)
9. 持久性
项目参与人员:
| 项目任务 | 参与人员 | 完成时间 |
|---|---|---|
| 检测引擎 | 杨勃 | 6月底 |
| 功能测试 | 孙阳波团队 | 6月底 |
| 超负荷下性能(未配置安全策略) | 秦波 | 6月底 |
| 负载下的性能(配置安全策略) | 秦波 | 6月底 |
| 延迟和用户响应时间 | 付敏 | 4月22日 |
| 稳定性和可靠性 | 付敏 | 4月22日 |
| 管理和配置 | 金龙华 | 5月13日 |
| 并行管理会话(条件限制) | 金龙华 | 5月13日 |
| 持久性 | 金龙华 | 5月13日 |
在WAF测评基准以及公开WAF测评的基准上,我们推出WAF认证,通过对WAF产品检测能力、防御能力、自身安全、性能、用户习惯等方面的测评,帮助厂商不断改进、提升产品!
OWASP WAF测评小组成员招募:
要求: 熟悉Web安全和渗透测试,5年以上相关工作经验
非厂商人员。 如有兴趣,请联系Rip: rip@owasp.org.cn 0755-88877606
