评测Web应用安全解决方案的开源工具:GoTestWAF
GoTestWAF是一款API和OWASP攻击模拟工具,支持包括REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC等多种API协议,旨在评估Web应用安全解决方案,如API安全代理、Web应用防火墙(WAF)、IPS、API网关等。
“我们创建GoTestWAF是为了帮助安全社区评估他们应用的API和应用程序安全控制的级别,”Wallarm首席执行官Ivan Novikov告诉Help Net Security。“就未来而言,我们有很多计划,包括为用户所需的CI/CD自动化引入守护进程模式,扩展GraphQL支持,引入基于Swagger/OpenAPI规范的配置选项和API扫描。”
GoTestWAF的工作原理
该工具使用放置在HTTP请求不同部分的编码有效负载生成恶意请求:其正文、标头、URL参数等。
生成的请求将发送到GoTestWAF启动期间指定的应用程序安全解决方案URL。安全解决方案评估的结果记录在您机器上创建的报告文件中(下图)。
系统要求:
- GoTestWAF支持所有流行的操作系统(Linux、Windows、macOS),如果系统中安装了Go,则可以进行本地开发。
- 如果将工具作为Docker容器运行,请确保您已经安装并配置了Docker,并且GoTestWAF和评估的应用程序安全解决方案连接到同一个Docker网络。
- 为了成功启动GoTestWAF,请确保运行GoTestWAF的机器的IP地址在运行应用安全解决方案的机器上被列入白名单。
GitHub下载地址: