针对Web应用程序防火墙(WAF)测试中的测试指标、测试流程不科学的问题,提出了一种基于 iMPERVA WAF测试框架的WAF测试方法。首先根据测试框架,建立由用户机、标准靶机和测试机组成的测试环境,然后对WAF的规则经配置并通过在用户机使用OWASP标准攻击脚本对靶机进行攻击,最后对测试结果进行分析。结果表明:本方法对于WAF的测试具备良好的可操作性,可以帮助用户对WAF的性能进行测试和规则调优。

• 单位
  华中师范大学; 武汉工程大学