בשבועות האחרונים העלו באתר ModSecurtiy, המרכז את פיתוחה של תוכנת WAF מבוססת קוד פתוח, אתגר לקהילת ההאקרים העולמית בשני חלקים.
בחלק הראשון נדרש מהמתחרים באתגר לבצע מתקפות "SQL Injection", במטרה לזהות מספר מאפיינים מרכזיים בבסיס הנתונים הפעיל בכל אתר. האתרים שנבחרו לאתגר הם "אתרי ההדגמה" (Demo Sites) של ארבע היצרניות המרכזיות בתחום ה-WepApp Vulnerability Scanners, שהן Cenzic, IBM, HP and Acunetix. מכיוון שקונפיגורציית אתרים אלו ידועה וכל הפרצות כבר מופו מראש, בוצעו בהם שינויים מסוימים לקראת האתגר.
בחלקו השני של האתגר נדרש מהמתחרים למפות פרצות כלליות באתרים בכל דרך אפשרית, כשהמגבלה היחידה היא להימנע מחשיפת המתקפה על ידי אמצעי ההגנה.
הגישה לכל אתרים ההדגמה נותבה באופן זמני דרך שרת פרוקסי שהריץ את אפליקציית ה-WAF של ModSecurity, ושתצורתו הותאמה במיוחד לחסימת המתקפות הצפויות. בנוסף להגנת ה-WAF ברמת האפליקציה, כל האתרים מוגנו גם באמצעות Firewall ברמת התשתית.
להפתעתם של אנשי ModSecurity, השלב הראשון הסתיים מוקדם מהצפוי לאחר שכל האתרים נפרצו כנדרש. מניתוח הנתונים עולה כי הזמן שהיה דרוש לאיסוף המידע עבור כל תוקף שעמד במשימה היה בממוצע כ-72 שעות בלבד (!).
תוצאות האתגר הראו בצורה חד משמעית כי פריסת הגנת WAF על אתרים אינה מבטיחה חסימה מלאה של ניסיונות איסוף המידע וניצול הפרצות לאורך זמן, וכי יש צורך ברור בחסימת כל הפרצות האפשריות ברמת הקוד של התוכנה הפעילה.
מסקנות החוקרים היו כי מטרתה העיקרית של הגנת ה-WAF היא לשמש ככלי מעקב וניתוח (Auditing) של פעילות חשודה, שמהווה חלק ממכלול של אמצעי הגנה, וכי תפיסת ה"שגר ושכח" אינה מתאימה למתקפות המיועדות לרמת האפליקציה והגנות מבוססות WAF.
