O unikaniu WAF

Ciekawa prezentacja Shocking News in PHP Exploitation (autor: Stefan Esser). W części poświęcona jest ona obchodzeniu WAF głównie na przykładzie ModSecurity ze standardowym zestawem reguł. Mimo wszystko Web Application Firewalls zwiększają bezpieczeństwo aplikacji. Nawet w domyślnej konfiguracji mogą wychwycić sporą część typowych ataków, ale nie wszystkie. Trzeba pamiętać, że nie oferują 100%25 skuteczności, a przed częścią ataków nie chronią wcale.

Pytanie: czy według Was w trakcie testów aplikacji WAF powinien być aktywny?

Oryginał tego wpisu dostępny jest pod adresem O unikaniu WAF

Autor: Paweł Goleń