Solche “Tricks” gab es schon für IDS und IPS. Natürlich lässt sich ein System wie eine WAF “austricksen”. Und natürlich bietet auch eine Web Application Firewall keine 100%ige Sicherheit. Aber nachdem die gefundenen Schwächen als “Lessons learned” dokumentiert werden, bleibt zu erwarten, dass die ausnutzbaren Lücken weniger werden.
http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html.
Am Ende ist aber saubere System-Architektur und gewissenhafte Implementierung die beste Strategie für sichere Software.