Firewalle aplikacji webowych tworzone są aby chronić takie aplikacje przed typowymi atakami przeprowadzanymi przeciwko serwisom webowym (np. SQL injection). Ich zadaniem jest przechwytywanie i blokowanie wszelkich potencjalnie niebezpiecznych zapytań.

Nie od dziś wiadomo jednak, że takie zabezpieczenia da się obchodzić - możliwe jest np. takie modyfikowanie nagłówków zapytań, by firewall uznał potencjalnie szkodliwy kod za bezpieczny. Ta metoda wprowadzania złośliwego kodu nie jest jeszcze zbyt dobrze opisana i udokumentowana, dlatego też niewiele jest narzędzi, które potrafią skutecznie chronić aplikacje webowe przed tym typem ataku.

Ristic zebrał wszystkie najpopularniejsze metody stosowane przez przestępców w jednym narzędziu do testowania zabezpieczeń aplikacji webowych - specjalista tłumaczy, że testował je głównie przeciwko popularnemu firewallowi ModSecurity, ale jest wysoce prawdopodobne, że na takie ataki narażone są również inne WAF-y.

"Mam nadzieję, że udostępnienie takiego narzędzie zainicjuje dyskusję na temat bezpieczeństwa firewalli aplikacji webowych i zaowocuje tworzeniem skuteczniejszych zabezpieczeń" - tłumaczy Ristic. Specjalista stworzył już serwis Wiki, w którym gromadzone mają być informacje na temat ataków na aplikacje webowe. "Dzięki temu unikniemy sytuacji, w której twórcy firewalli cały czas popełniają te same błędy, bo nie wiedzą, że ktoś znalazł i rozwiązał dany problem już wcześniej" - podsumował ekspert.