Waf چیست؟ در ساده‌ترین تعریف، Web Application Firewall یا WAF یک کنترل امنیتی تخصصی است که ترافیک HTTP و HTTPS ورودی و خروجی وب‌سایت را بررسی می‌کند تا نشانه‌های رفتار مخرب را شناسایی و متوقف کند. برخلاف فایروال‌های شبکه که بر اساس پورت‌ها عمل می‌کنند یا NGFWها که تمرکزشان روی شناسایی اپلیکیشن‌هاست، WAF زبان HTTP را به‌طور کامل می‌فهمد. این فایروال می‌تواند متدها، هدرها، کوکی‌ها، پارامترهای Query String و داده‌های POST را تحلیل کند و بر اساس سیاست‌های امنیتی، جلوی حملاتی مانند SQL Injection، Cross-Site Scripting یا XSS، File Inclusion و Command Injection را بگیرد. در واقع هدف اصلی WAF محافظت از وب‌اپلیکیشن در برابر آسیب‌پذیری‌های مطرح OWASP Top 10 است.

در حالی که WAF قادر به اصلاح کدهای آسیب‌پذیر نیست، اما می‌تواند بدون نیاز به تغییر سورس‌کد، اثر بسیاری از ضعف‌های امنیتی شناخته‌شده را کاهش دهد. به این روش «Virtual Patching» گفته می‌شود. در Virtual Patch، قوانین فایروال جلوی Payloadهای مخرب را می‌گیرند، اما اگر یک Payload خاص توسط قوانین پوشش داده نشده باشد، ممکن است از WAF عبور کند و آسیب‌پذیری را اکسپلویت کند. به همین دلیل، WAF جایگزین اصلاح کد نیست، بلکه یک لایه دفاعی مکمل محسوب می‌شود.