评测Web应用安全解决方案的开源工具：GoTestWAF

点击蓝字 关注我们            ///

@GoUpSec

GoTestWAF是一款API和OWASP攻击模拟工具，支持包括REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC等多种API协议，旨在评估Web应用安全解决方案，如API安全代理、Web应用防火墙（WAF）、IPS、API网关等。

“我们创建GoTestWAF是为了帮助安全社区评估他们应用的API和应用程序安全控制的级别，”Wallarm首席执行官Ivan Novikov告诉Help Net Security。“就未来而言，我们有很多计划，包括为用户所需的CI/CD自动化引入守护进程模式，扩展GraphQL支持，引入基于Swagger/OpenAPI规范的配置选项和API扫描。” 

GoTestWAF的工作原理

该工具使用放置在HTTP请求不同部分的编码有效负载生成恶意请求：其正文、标头、URL参数等。

生成的请求将发送到GoTestWAF启动期间指定的应用程序安全解决方案URL。安全解决方案评估的结果记录在您机器上创建的报告文件中（下图）。

系统要求：

• GoTestWAF支持所有流行的操作系统（Linux、Windows、macOS），如果系统中安装了Go，则可以进行本地开发。

• 如果将工具作为Docker容器运行，请确保您已经安装并配置了Docker，并且GoTestWAF和评估的应用程序安全解决方案连接到同一个Docker网络。

• 为了成功启动GoTestWAF，请确保运行GoTestWAF的机器的IP地址在运行应用安全解决方案的机器上被列入白名单。

GitHub下载地址：

https://github.com/wallarm/gotestwaf

END