0.3.2　Web应用程序防火墙

在白盒测试中，需要关注可能正在使用的Web应用程序防火墙（WAF）。WAF是一种控制抵达API的网络流量的设备，能保护Web应用程序和API。如果配置WAF得当，那么在进行简单扫描后，一旦访问API受限，你将在测试期间迅速发现这一异常情况。高效的WAF能够限制意外请求，阻止API进行安全测试。出色的WAF会将请求频率异常或请求失败的情况纳入检测，并限制测试设备。

在灰盒测试和白盒测试中，客户可能透露WAF相关信息，此时需做出相应决策。尽管关于组织是否应放宽安全性以提高测试效果的观点不一，但分层的网络安全防御对有效保护组织至关重要。简言之，不应将所有安全措施集中于WAF。长远来看，持续攻击者可能了解WAF的边界，找到绕过方法或利用零日漏洞使其失效。

在理想状况下，客户应允许测试IP地址绕过WAF，或适度放宽常规的边界安全设置，从而确保测试能够全面而准确地评估API的安全控制措施。如前文所述，制订此类计划和决策实则关乎威胁建模。对API的最佳测试应与API提供商的实际威胁相一致。为获得最具价值的API安全性的测试结果，最佳做法是了解潜在对手及其黑客技术。否则，你会发现自己只是在测试API提供商的WAF的有效性，而不是其API安全控制的有效性。