_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

WAF konfigurace — Web Application Firewall

01. 01. 2024 1 min čtení intermediate

WAF blokuje SQL injection, XSS, bot traffic na aplikační vrstvě. Defense-in-depth vrstva.

ModSecurity + OWASP CRS

Nginx

modsecurity on; modsecurity_rules_file /etc/modsecurity/crs/crs-setup.conf; modsecurity_rules_file /etc/modsecurity/crs/rules/*.conf;

AWS WAF

resource “aws_wafv2_web_acl” “main” { default_action { allow {} } rule { name = “aws-managed” statement { managed_rule_group_statement { vendor_name = “AWS” name = “AWSManagedRulesCommonRuleSet” } } } }

Klíčový takeaway

WAF je defense-in-depth, ne náhrada za bezpečný kód. Začněte s managed rules.

securitywafwebmodsecurity

Další know-how

OWASP Top 10 — bezpecnost webovych aplikaci

OWASP doporuceni v Java EE. SQL injection, XSS, CSRF a jak se branit.

CSRF ochrana — Cross-Site Request Forgery

Jak funguje CSRF útok a jak se bránit. Token, SameSite cookies, Double Submit.

Burp Suite základy — web security testing

Jak používat Burp Suite pro testování webových aplikací.