Categories
Internet & Cloud

WAF Evasion

Solche “Tricks” gab es schon für IDS und IPS. Natürlich lässt sich ein System wie eine WAF “austricksen”. Und natürlich bietet auch eine Web Application Firewall keine 100%ige Sicherheit. Aber nachdem die gefundenen Schwächen als “Lessons learned” dokumentiert werden, bleibt zu erwarten, dass die ausnutzbaren Lücken weniger werden.

http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html.

Am Ende ist aber saubere System-Architektur und gewissenhafte Implementierung die beste Strategie für sichere Software.