WAFCheck: uma ferramenta para auxiliar nos testes de Web Application Firewalls (WAFs)

Abstract

Estatísticas indicam que até 90% das aplicações disponibilizadas na Internet possuem algum tipo de vulnerabilidade de software. Estudos recentes apontam também que firewalls de aplicação, mais conhecidos como WAFs, podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Entretanto, determinar a capacidade e a qualidade de um WAF pode ser um desafio. Nós propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A WAFCheck permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades de sistemas web. Utilizando centenas de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, nós avaliamos o desempenho dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF, demostrando o funcionamento e a aplicabilidade da ferramenta.