Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21173 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents
  • 0
    My experience:

    Simply put, the WAF is swiss cheese. [:(]

    The two nice functions, URL & Form hardening seem unusable in most applications we tested.

    The SQLi and XSS signatures are very weak. We have a "hole" site with SQLi, XSS, directory traversal, parameter pollution, you name it.
    We could not enable the URL & Form hardening, so we enabled the SQLi and XSS protection, and while the WAF blocked some SQLi and XSS attempts, it did not do too much.
    With or without it was pretty much the same.

    Thanks,
    Adrian
Reply
  • 0
    My experience:

    Simply put, the WAF is swiss cheese. [:(]

    The two nice functions, URL & Form hardening seem unusable in most applications we tested.

    The SQLi and XSS signatures are very weak. We have a "hole" site with SQLi, XSS, directory traversal, parameter pollution, you name it.
    We could not enable the URL & Form hardening, so we enabled the SQLi and XSS protection, and while the WAF blocked some SQLi and XSS attempts, it did not do too much.
    With or without it was pretty much the same.

    Thanks,
    Adrian
Children
No Data
Unfiltered HTML