Un firewall de aplicación web (WAF) es un firewall que monitorea, filtra o bloquea paquetes de datos a medida que viajan hacia y desde una aplicación web. Un WAF puede estar basado en la red, en el host o en la nube y, a menudo, se implementa a través de un proxy y se coloca frente a una o más aplicaciones web. Ejecutándose como un dispositivo de red, complemento de servidor o servicio en la nube, el WAF inspecciona cada paquete y utiliza una base de reglas para analizar la lógica de la aplicación web de Capa 7 y filtrar el tráfico potencialmente dañino.
Los cortafuegos de aplicaciones web son un control de seguridad común utilizado por las empresas para proteger las aplicaciones web contra exploits de día cero, suplantación y vulnerabilidades y atacantes conocidos. A través de inspecciones personalizadas, un WAF también puede prevenir ataques de scripting entre sitios (XSS), ataques de inyección SQL, secuestro de sesión y desbordamientos de búfer, que los firewalls de red tradicionales y otros sistemas de detección de intrusiones pueden no ser capaces de hacer. Los WAF son especialmente útiles para las empresas que ofrecen productos o servicios a través de Internet.
- Los WAF basados en red suelen estar basados en hardware y pueden reducir la latencia porque se instalan localmente, lo más cerca posible de la aplicación. La mayoría de los principales proveedores de WAF basados en red permiten la replicación de reglas y configuraciones en múltiples dispositivos, lo que hace posible la implementación y configuración a gran escala. El mayor inconveniente para este tipo de producto WAF es el costo
- Los WAF basados en host pueden integrarse completamente en el código de la aplicación. Los beneficios de la implementación WAF basada en aplicaciones incluyen opciones de personalización de bajo costo y mayor. Los WAF basados en aplicaciones pueden ser un desafío para administrar porque requieren bibliotecas locales y dependen de los recursos del servidor local para funcionar de manera efectiva
- Los WAF alojados en la nube ofrecen una solución de bajo costo para organizaciones que desean un producto llave en mano. Los WAF en la nube son fáciles de implementar, están disponibles por suscripción y a menudo requieren solo un simple cambio de DNS para redirigir el tráfico de la aplicación. Aunque puede ser un desafío colocar la responsabilidad de filtrar el tráfico de aplicaciones web de una organización con un proveedor externo, la estrategia permite proteger las aplicaciones en un amplio espectro de ubicaciones de alojamiento y utilizar políticas similares para proteger contra ataques de la capa de aplicación
Fuzzing es una técnica de prueba de software de Black Box, utilizada para descubrir errores de codificación y lagunas de seguridad en software, sistemas operativos o redes al proporcionar datos no válidos, inesperados o aleatorios como entradas a un programa de computadora. Luego, el sistema se monitorea en busca de varias excepciones, como fallas del sistema, pérdidas de memoria o fallas en el código incorporado, etc.
- ¿Qué servicios de correo electrónico utilizan las grandes empresas como Facebook, Twitter y Quora?
- ¿Es posible crear una aplicación web Java que pueda recuperar datos de un cliente HTML?
- ¿Qué marco de desarrollo de aplicaciones web prefiere para Node.js?
- ¿Cuáles son algunos frameworks, bibliotecas o herramientas "en boga" entre los desarrolladores que nacen y / o se mantienen principalmente en la Europa mediterránea?
- ¿Un SVG minimizado afectará negativamente la salida de calidad de impresión?
Un Security Fuzzer es una herramienta utilizada por profesionales de seguridad (y hackers profesionales) para probar un parámetro de una aplicación. Los fuzzers típicos prueban una aplicación para desbordamientos de búfer, vulnerabilidades de cadena de formato y manejo de errores. Los fuzzers más avanzados incorporan funcionalidades para probar ataques transversales de directorio, vulnerabilidades de ejecución de comandos, inyección de SQL y vulnerabilidades de Cross Site Scripting. Los escáneres de vulnerabilidad web suelen realizar toda esta funcionalidad y pueden considerarse un fuzzer avanzado.
Los fuzzers gratuitos populares incluyen SPIKE Proxy, Peach Fuzzer Framework y WebScarab.
