<div dir="ltr">Cool article Christian. Thanks for writing it and posting to the list. I think instructions to help people disable ModSecurity for certain users is helpful to have out there. <div><br></div><div>I have a question though. Isn't another option to simply stand up a test instance and not have the WAF there at all? Or do both? i.e., Have a test instance, and only disable the WAF for certain IPs on the test instance. That way the production system isn't affected or put at risk at all.</div><div><br></div><div>I could even imagine a customer asking you to test both with and without the WAF in order to test the evadability of the WAF. But that would take more time/be more expensive, so not sure most customers would think that's worth it.</div><div><br></div><div>In my experience, we usually get hired to test against a test instance anyway. It's rare that we are asked to test against production. But maybe that's not as common as I think it is. In your experience, how often are you hired to test against prod vs. a test instance?</div><div><br></div><div>Any others want to comment on that as well?</div><div><br></div><div>Thanks, Dave</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 30, 2017 at 3:31 AM, Christian Folini <span dir="ltr"><<a href="mailto:christian.folini@netnea.com" target="_blank">christian.folini@netnea.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi there,<br>
<br>
There have been reasonable arguments that A7 would make the life of<br>
white hats much harder and thus result in an overall reduction of<br>
the security level.<br>
<br>
I wrote a blog post pointing out ways how to cope with sufficient<br>
attack protection during assessments. Call it an A7 survival guide<br>
or whatever.<br>
<br>
<a href="https://www.netnea.com/cms/2017/05/30/an-a7-first-aid-kit/" rel="noreferrer" target="_blank">https://www.netnea.com/cms/<wbr>2017/05/30/an-a7-first-aid-<wbr>kit/</a><br>
<br>
Feedback welcome here or via PM.<br>
<br>
Cheers,<br>
<br>
Christian<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
<a href="https://www.feistyduck.com/books/modsecurity-handbook/" rel="noreferrer" target="_blank">https://www.feistyduck.com/<wbr>books/modsecurity-handbook/</a> (due in June!)<br>
mailto:<a href="mailto:christian.folini@netnea.com">christian.folini@<wbr>netnea.com</a><br>
twitter: @ChrFolini<br>
______________________________<wbr>_________________<br>
Owasp-topten mailing list<br>
<a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-topten" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-topten</a><br>
</font></span></blockquote></div><br></div>