Um WAF (Web Application Firewall) é um appliance, plugin de servidor ou software que aplica um conjunto de regras para uma conversação HTTP. Funciona como uma precaução para ataques comuns como XSS, CSRF e SQL injection.
O projeto OWASP sugere um extenso critério para um WAF, entre os requerimentos estão:
- Proteção contra o Top 10 do OWASP;
- Pouquissimos falso-positivos (por exemplo, não deve nunca descartar um requisição autorizada;
- Fortalecimento das defesas padrões;
- Tipos de vulnerabilidades que possa prevenir;
- Interface com o usuário simplificada e intuitiva;
- Suporte a modo cluster;
- Alta performance (latencia de milisegundos);
- Total capacidade de alertas, forense e relatórios;
- Suporte a serviços web XML;
- Proteção contra força-bruta;
- Entre outros.
Seguem abaixo alguns WAFs que são open source e atendem a esses requisitos. Clique em cada link para mais informações ou download.
- Naxsi
- Vulture WebSSO
- Guardian @ JUMPERZ.NET
- IronBee
- WebCastellum
- ModSecurity
- OWASP ESAPI WAF
- OpenWAF
- AQTRONIX WebKnight
Maiores informações estão disponíveis na página Web Application Firewall do OWASP.
Via: List of Open Source Web Application Firewalls