使用Web应用程序源代码分析的web应用防火墙

Question

我读了这个页面：类别:OWASP最佳实践: Web应用程序防火墙的使用，我发现WAF通常无法检测逻辑攻击。

我们知道每个web应用程序都有许多输入参数。我认为可以通过代码分析工具提取这些输入参数及其相关的有效值。

现在，我的问题是，我们能否使用代码分析工具并将它们的结果传递给WAF来检测一些逻辑攻击，例如本页中描述的一个示例：逻辑和技术弱点？

此外，我想知道在WAF中使用代码分析的优点是什么？

我谷歌了一下，找不到任何WAF，它使用代码分析来生成规则、提高性能和减少误报。

Answer 1

如果您能够从静态分析中实际确定有效的输入值，则可以使用它来指导应用程序中的适当输入验证。然而，由于缺乏输入验证，大多数静态分析工具将无法确定适当的答案。vulnerabilities防火墙用于防范未知漏洞和常见模式(主要是XSS和SQLi )。

Answer 2

现代web应用程序防火墙能够通过研究和训练应用程序的有效执行路径和阻止任何不遵循它的请求来执行应用程序逻辑。例如，假设应用程序逻辑按以下顺序执行以下操作：

1. 选择项目
2. 执行付款
3. 接收项目

WAFs可以强制上述三个步骤按照上面给出的顺序执行。这意味着，如果攻击试图执行以下操作：

1. 选择项目
2. 接收项目

WAF将检测到有效路径未被遵循，并阻止请求。这要求WAF在执行阻塞之前首先对应用程序的所有有效路径进行培训。

Answer 3

不基于行为的工具不会识别逻辑路径，因为它们拥有的唯一信息是通过网络输入的信息。您可以为最著名的输入和被认为是错误的输入对它们进行培训，但是要确定一个逻辑，则需要了解应用程序的整个流程和所涉及的细分系统/域。

要考虑的另一件事是，WAF不存在用于保护逻辑攻击的应用程序的责任--它在那里处理Web应用程序攻击，保护应用程序免受逻辑攻击是应用程序的责任。