WAF-Vergleich 2026: Padding-Evasion-Angriffe verändern das Spiel
Check Points Tests zeigten, dass die meisten WAFs anfällig für neue Angriffe mit Padding wie React2Shell sind. Nur zwei Lösungen boten vollständigen Schutz, während andere Bedrohungen übersahen oder legitimen Traffic blockierten.
Architekturelle Schwächen traditioneller WAFs
Traditionelle WAFs, die auf Signaturanalyse setzen, stoßen bei hochentwickelten Malware-Attacken an Grenzen. Tests aus 2024–25 machten das Problem schon deutlich, doch 2026 veränderte der Padding-Evasion-Angriff die Bewertungskriterien grundlegend. Diese Technik erlaubt es Angreifern, bösartigen Code in riesigen Mengen „Müll“-Daten zu verstecken und so Standard-Inspektionspuffer von 8–128 KB zu umgehen.
Wichtige Kennzahlen: Sicherheit vs. Erkennung
Beim WAF-Auswahl prallen zwei entscheidende Parameter oft aufeinander:
- Sicherheitsqualität (True Positive Rate) — die Fähigkeit, bösartige Anfragen präzise zu erkennen und zu blockieren.
- Erkennungsqualität (False Positive Rate) — die Fähigkeit, legitimen Traffic ohne Fehlalarme durchzulassen.
Ein ideales WAF balanciert beides. Für eine objektive Bewertung nutzen wir ausgewogene Genauigkeit — den Durchschnitt dieser beiden Metriken.
Testergebnisse der Top-WAFs
Im Dezember 2025 testete Check Point 13 Konfigurationen beliebter WAFs, darunter Lösungen von Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet und Imperva. Verwendet wurden:
- 1.040.242 legitime HTTP-Anfragen von 692 echten Websites.
- 74.284 bösartige Kombinationen aus gängigen Angriffsvektoren.
Ergebnisse nach ausgewogener Genauigkeit:
- open-appsec / CloudGuard WAF (kritisches Profil) — 99,453 %
- open-appsec / CloudGuard WAF (Standard-Profil) — 99,283 %
- F5 NGINX App Protect WAF — 94,071 %
Extreme Fälle zeigen das Ungleichgewicht:
- Imperva Cloud WAF hatte exzellente Erkennung (0,009 % Fehlpositive), übersah aber 88,03 % echter Bedrohungen.
- Microsoft Azure WAF blockierte 97,537 % der Bedrohungen, löste aber 54,412 % Fehlpositive aus und störte die App-Funktion.
Die Padding-Evasion-Bedrohung und drei WAF-Verhalten
Padding-Evasion-Datensätze (basierend auf CVE-2025-55182 in React2Shell) deckten grundlegende Architekturunterschiede auf. Große Payloads in Müll-Daten testen nicht nur Signaturdatenbanken, sondern Anfragenverarbeitungsmechanismen. Die Tests ergaben drei Verhaltensweisen:
- Fail Open — WAF prüft nur Teile der Anfrage (z. B. erste 128 KB), übersieht die Bedrohung und lässt alles durch. Ergebnis: Anfällig für Zero-Days.
- Fail Close — WAF erkennt Überschreitung des Buffers und blockiert die gesamte Anfrage. Ergebnis: Hohe Fehlpositive, blockiert legitime große Anfragen (JSON, Datei-Uploads).
- Vollständige Abdeckung — WAF analysiert den gesamten Anfragetext unabhängig von der Größe, erfasst versteckte Bedrohungen ohne Blockade legitimen Traffics. Ergebnis: Optimaler Schutz.
WAF-Verhaltensvergleich bei Padding-Evasion-Angriffen
| WAF | Verhalten bei großen Anfragen | Ergebnis | Status |
| :--- | :--- | :--- | :--- |
| open-appsec / CloudGuard WAF | Vollständige Abdeckung | Geschützt | ✅ |
| Google Cloud Armor | Vollständige Abdeckung | Geschützt | ✅ |
| Microsoft Azure WAF | Fail Close | Blockiert legitime Anfragen | ❌ |
| AWS WAF (Managed & F5 Rules) | Fail Close | Blockiert legitime Anfragen | ❌ |
| Cloudflare WAF | Fail Open | Anfällig für Padding Evasion | ❌ |
| F5 NGINX AppProtect | Fail Open | Anfällig für Padding Evasion | ❌ |
| F5 BIG-IP Advanced WAF | Fail Open | Anfällig für Padding Evasion | ❌ |
| Fortinet FortiAppSec | Fail Open | Anfällig für Padding Evasion | ❌ |
Nur open-appsec/CloudGuard und Google Cloud Armor erreichten vollständige Abdeckung. Die meisten, inklusive Cloudflare, F5 und Fortinet, wählen Fail Open und lassen Apps offen. AWS und Azure setzen auf Fail Close und opfern Benutzerfreundlichkeit für Sicherheit.
Entwicklung der Test-Tools und Anomalien
Test-Tools haben sich zu einer vollständigen Plattform mit PDF-Berichten, Visualisierungen und Log-Beispielen entwickelt. Docker-Support ermöglicht schnelle Express-Checks. Doch Tests deckten eine Anomalie auf: Imperva Cloud WAF blockierte 100 % des Test-Tool-Traffics, inklusive legitimer Anfragen — ein Hinweis auf aggressive Heuristiken gegen Audit-Tools.
Wichtige Erkenntnisse
- Padding-Evasion-Angriffe sind der neue Maßstab — WAFs müssen jede Anfragengröße handhaben, um Bedrohungen wie React2Shell abzuwehren.
- Metriken-Balance ist entscheidend — WAF-Auswahl nur nach Sicherheit oder Erkennung birgt Risiken für Lücken oder Ausfälle.
- Architektur bestimmt Erfolge — Nur Streaming-Analyse mit Machine Learning liefert vollständige Abdeckung ohne Performanceeinbußen.
- Konfiguration zählt — Tests in verschiedenen Modi (z. B. open-appsec) zeigen, wie stark Einstellungen die ausgewogene Genauigkeit beeinflussen.
- Test-Tools sind fortschrittlicher — Moderne Plattformen bieten detaillierte Berichte für smarte WAF-Auswahl und -Optimierung.
— Editorial Team
Noch keine Kommentare.