Esta nueva herramienta puede comprobar si los firewalls de aplicaciones Web (WAFS) son vulnerables a las técnicas de evasión a nivel de protocolo, de las que existen unas 150 técnicas de evasión.

La herramienta es obra de Ivan Ristic, director de ingeniería del proveedor de seguridad Qualys y autor original del firewall de aplicaciones Web ModSecurity.

Los cortafuegos de aplicaciones Web están diseñados para proteger las aplicaciones web de ataques conocidos, tales como ataques de inyección SQL, que son comúnmente utilizadas para comprometer sitios web. Lo hacen mediante la interceptación de las solicitudes enviadas por los clientes y hacen cumplir reglas estrictas acerca de su formato y carga. Sin embargo, existen varios métodos para colar peticiones maliciosas que violen estas reglas mediante la modificación de ciertas partes de sus encabezados o URL. Prácticas conocidas como técnicas de evasión a nivel de protocolo. Las WAF no están preparadas para lidiar con estos ataques porque las técnicas no están muy bien documentados, explica Ristic.

El investigador probó las técnicas de evasión contra ModSecurity, una WAFS de código abierto, pero es razonable suponer que otros WAFS son vulnerables a algunos de estos ataques.