Zpět na domů

Srovnání WAF 2026: výsledky testů Check Point a útoky Padding Evasion

Článek představuje výsledky nezávislého testování Web Application Firewall (WAF) společností Check Point v roce 2026. Analyzuje se efektivita populárních řešení proti novým útokům Padding Evasion, jako je React2Shell, a dávají se doporučení pro výběr WAF na základě klíčových metrik bezpečnosti a detekce.

WAF 2026: pouze 2 řešení prošla testy na útoky s výplní
Advertisement 728x90

Srovnání WAF 2026: Jak útoky Padding Evasion změnily pravidla hry

Testování Check Point odhalilo, že většina WAF je zranitelná vůči novým útokům s vyplněním, jako je React2Shell. Pouze dvě řešení ukázala plné pokrytí, zatímco ostatní buď přehlížejí hrozby, nebo blokují legitimní provoz.

Architektonická omezení tradičních WAF

Tradiční WAF založené na signaturách vykazují rostoucí omezení proti složitým škodlivým kódům. Testy z let 2024-25 již na tento problém upozorňovaly, a v roce 2026 zavedení vektoru útoků Padding Evasion (obcházení vyplněním) zcela změnilo kritéria hodnocení. Tato technika umožňuje útočníkům skrýt škodlivý kód ve velkém objemu „odpadních“ dat, čímž obchází standardní buffery kontroly o velikosti 8-128 KB.

Klíčové metriky: bezpečnost vs. detekce

Při výběru WAF jsou kriticky důležité dva parametry, které se často dostávají do konfliktu:

Google AdInline article slot
  • Kvalita bezpečnosti (True Positive Rate) – schopnost přesně identifikovat a blokovat škodlivé požadavky.
  • Kvalita detekce (False Positive Rate) – schopnost správně propustit legitimní provoz bez falešných poplachů.

Ideální WAF by měl vyvažovat oba ukazatele. Pro objektivní hodnocení se používá vyvážená přesnost (Balanced Accuracy) – průměr těchto dvou hodnot.

Výsledky testování hlavních WAF

V prosinci 2025 Check Point otestovala 13 konfigurací populárních WAF, včetně řešení od Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet a Imperva. Testy použily:

  • 1 040 242 legitimních HTTP požadavků z 692 reálných webů.
  • 74 284 škodlivých kombinací z běžných vektorů útoků.

Výsledky podle vyvážené přesnosti byly rozděleny takto:

Google AdInline article slot
  • open-appsec / CloudGuard WAF (kritický profil) – 99,453%
  • open-appsec / CloudGuard WAF (profil výchozí) – 99,283%
  • F5 NGINX App Protect WAF – 94,071%

Extrémní případy ilustrují problém nerovnováhy:

  • Imperva Cloud WAF vykazoval vynikající kvalitu detekce (0,009 % falešných poplachů), ale přehlédl 88,03 % reálných hrozeb.
  • Microsoft Azure WAF zablokoval 97,537 % hrozeb, ale měl 54,412 % falešných poplachů, což narušovalo fungování aplikací.

Hrozba Padding Evasion a tři typy chování WAF

Zařazení sady dat Padding Evasion do testů (na příkladu zranitelnosti CVE‑2025‑55182 v React2Shell) odhalilo zásadní architektonické rozdíly. Velké škodlivé kódy skryté v „odpadních“ datech testují nejen signaturní databáze, ale také mechanismy zpracování požadavků WAF. Testování identifikovalo tři typy chování:

  • Fail Open (Otevření při chybě) – WAF kontroluje pouze část požadavku (např. prvních 128 KB), nezjistí hrozbu a propustí celý požadavek. Výsledek: zranitelnost vůči útokům zero-day.
  • Fail Close (Uzavření při chybě) – WAF zjistí, že požadavek překračuje buffer, a zablokuje jej úplně. Výsledek: vysoká míra falešných poplachů, blokování legitimních velkých požadavků (JSON, nahrávání souborů).
  • Full Coverage (Plné pokrytí) – WAF je schopen analyzovat celé tělo požadavku bez ohledu na velikost, odhalit skryté hrozby bez blokování legitimního provozu. Výsledek: optimální ochrana.

Srovnání chování WAF při útocích Padding Evasion

| WAF | Chování na velkých požadavcích | Výsledek | Stav |

Google AdInline article slot

| :--- | :--- | :--- | :--- |

| open-appsec / CloudGuard WAF | Full Coverage | Chráněno | ✅ |

| Google Cloud Armor | Full Coverage | Chráněno | ✅ |

| Microsoft Azure WAF | Fail Close | Blokování legitimních požadavků | ❌ |

| AWS WAF (Managed & F5 Rules) | Fail Close | Blokování legitimních požadavků | ❌ |

| Cloudflare WAF | Fail Open | Zranitelný vůči Padding Evasion | ❌ |

| F5 NGINX AppProtect | Fail Open | Zranitelný vůči Padding Evasion | ❌ |

| F5 BIG-IP Advanced WAF | Fail Open | Zranitelný vůči Padding Evasion | ❌ |

| Fortinet FortiAppSec | Fail Open | Zranitelný vůči Padding Evasion | ❌ |

Pouze open-appsec/CloudGuard a Google Cloud Armor prokázaly chování Full Coverage. Většina řešení, včetně Cloudflare, F5 a Fortinet, pracuje v režimu Fail Open, čímž činí aplikace zranitelnými. Řešení od AWS a Azure, volící Fail Close, obětují uživatelskou pohodlnost pro bezpečnost.

Vývoj testovacích nástrojů a anomálie

Testovací nástroje se vyvinuly v plnohodnotnou platformu s generováním PDF reportů, vizualizací výsledků a příklady logů. Přidána byla možnost rychlého spuštění přes Docker pro expresní kontrolu. Testy však odhalily anomálii: WAF Imperva Cloud blokoval 100 % provozu z testovacího nástroje, včetně legitimních požadavků, což naznačuje agresivní heuristiku zaměřenou proti samotným auditním prostředkům.

Co je důležité

  • Útoky Padding Evasion se staly novým kritériem – schopnost WAF analyzovat požadavky jakékoli velikosti je klíčová pro ochranu před hrozbami jako React2Shell.
  • Vyvážení metrik je nezbytné – výběr WAF pouze podle kvality bezpečnosti nebo detekce vede k rizikům zranitelnosti nebo nedostupnosti služeb.
  • Architektura určuje výsledek – pouze proudová analýza v kombinaci s strojovým učením umožňuje implementovat chování Full Coverage bez ztráty výkonu.
  • Konfigurace má význam – testování některých produktů v různých režimech (např. open-appsec) ukázalo, že nastavení významně ovlivňuje vyváženou přesnost.
  • Testovací nástroje se staly složitějšími – moderní platformy poskytují podrobné reporty nezbytné pro odůvodněný výběr a nastavení WAF.

— Editorial Team

Advertisement 728x90

Číst dál