Powrót do strony głównej

Porównanie WAF 2026: wyniki testów Check Point i ataki Padding Evasion

Artykuł przedstawia wyniki niezależnego testowania Web Application Firewall (WAF) przez firmę Check Point w 2026 roku. Analizowana jest skuteczność popularnych rozwiązań przeciwko nowym atakom Padding Evasion, takim jak React2Shell, oraz podane są rekomendacje wyboru WAF na podstawie kluczowych metryk bezpieczeństwa i wykrywania.

WAF 2026: tylko 2 rozwiązania przeszły test na ataki z wypełnieniem
Advertisement 728x90

Porównanie WAF 2026: jak ataki Padding Evasion zmieniły reguły gry

Testy Check Point ujawniły, że większość WAF jest podatna na nowe ataki z wypełnieniem, takie jak React2Shell. Tylko dwa rozwiązania wykazały pełne pokrycie, podczas gdy pozostałe albo pomijają zagrożenia, albo blokują legalny ruch.

Ograniczenia architektoniczne tradycyjnych WAF

Tradycyjne WAF, oparte na analizie sygnatur, wykazują rosnące ograniczenia w walce ze złożonymi złośliwymi oprogramowaniami. Testy z lat 2024-25 już wskazywały na ten problem, a w 2026 roku wprowadzenie wektora ataków Padding Evasion (obejście przez wypełnienie) całkowicie zmieniło kryteria oceny. Ta technika pozwala przestępcom ukrywać złośliwy kod w dużej ilości „śmieciowych” danych, omijając standardowe bufory sprawdzające o rozmiarze 8-128 KB.

Kluczowe metryki: bezpieczeństwo vs wykrywanie

Przy wyborze WAF krytycznie ważne są dwa parametry, które często kolidują:

Google AdInline article slot
  • Jakość bezpieczeństwa (Wskaźnik Prawdziwie Pozytywny) — zdolność do precyzyjnego identyfikowania i blokowania złośliwych żądań.
  • Jakość wykrywania (Wskaźnik Fałszywie Pozytywny) — zdolność do poprawnego przepuszczania legalnego ruchu bez fałszywych alarmów.

Idealny WAF powinien równoważyć oba wskaźniki. Do obiektywnej oceny stosuje się zrównoważoną dokładność (Balanced Accuracy) — średnią arytmetyczną tych dwóch wartości.

Wyniki testowania głównych WAF

W grudniu 2025 roku Check Point przetestowała 13 konfiguracji popularnych WAF, w tym rozwiązania od Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet i Imperva. Testy wykorzystały:

  • 1 040 242 legalnych żądań HTTP z 692 rzeczywistych stron.
  • 74 284 złośliwych kombinacji z powszechnych wektorów ataków.

Wyniki według zrównoważonej dokładności rozłożyły się następująco:

Google AdInline article slot
  • open-appsec / CloudGuard WAF (profil krytyczny) — 99,453%
  • open-appsec / CloudGuard WAF (profil domyślny) — 99,283%
  • F5 NGINX App Protect WAF — 94,071%

Przy tym ekstremalne przypadki ilustrują problem braku równowagi:

  • Imperva Cloud WAF wykazał doskonałą jakość wykrywania (0,009% fałszywych alarmów), ale pominął 88,03% rzeczywistych zagrożeń.
  • Microsoft Azure WAF zablokował 97,537% zagrożeń, ale miał 54,412% fałszywych alarmów, zakłócając działanie aplikacji.

Zagrożenie Padding Evasion i trzy typy zachowań WAF

Wprowadzenie do testów zestawu danych Padding Evasion (na przykładzie podatności CVE‑2025‑55182 w React2Shell) ujawniło fundamentalne różnice architektoniczne. Duże złośliwe oprogramowanie, ukryte w „śmieciowych” danych, testuje nie tylko bazę sygnatur, ale i mechanizmy przetwarzania żądań WAF. Testowanie wyróżniło trzy typy zachowań:

  • Fail Open (Otwarcie przy błędzie) — WAF sprawdza tylko część żądania (np. pierwsze 128 KB), nie wykrywa zagrożenia i przepuszcza całe żądanie. Rezultat: podatność na ataki zero-day.
  • Fail Close (Zamknięcie przy błędzie) — WAF wykrywa, że żądanie przekracza bufor, i całkowicie je blokuje. Rezultat: wysoki poziom fałszywych alarmów, blokowanie legalnych dużych żądań (JSON, przesyłanie plików).
  • Full Coverage (Pełne pokrycie) — WAF jest w stanie analizować całe ciało żądania niezależnie od rozmiaru, wykrywając ukryte zagrożenia bez blokowania legalnego ruchu. Rezultat: optymalna ochrona.

Porównanie zachowań WAF na atakach Padding Evasion

| WAF | Zachowanie na dużych żądaniach | Rezultat | Status |

Google AdInline article slot

| :--- | :--- | :--- | :--- |

| open-appsec / CloudGuard WAF | Full Coverage | Chronione | ✅ |

| Google Cloud Armor | Full Coverage | Chronione | ✅ |

| Microsoft Azure WAF | Fail Close | Blokada legalnych żądań | ❌ |

| AWS WAF (Managed & F5 Rules) | Fail Close | Blokada legalnych żądań | ❌ |

| Cloudflare WAF | Fail Open | Podatne na Padding Evasion | ❌ |

| F5 NGINX AppProtect | Fail Open | Podatne na Padding Evasion | ❌ |

| F5 BIG-IP Advanced WAF | Fail Open | Podatne na Padding Evasion | ❌ |

| Fortinet FortiAppSec | Fail Open | Podatne na Padding Evasion | ❌ |

Tylko open-appsec/CloudGuard i Google Cloud Armor wykazały zachowanie Full Coverage. Większość rozwiązań, w tym Cloudflare, F5 i Fortinet, działa w trybie Fail Open, czyniąc aplikacje podatnymi. Rozwiązania od AWS i Azure, wybierając Fail Close, poświęcają wygodę użytkowania dla bezpieczeństwa.

Ewolucja narzędzi testowania i anomalie

Instrumentarium testowe ewoluowało w pełnoprawną platformę z generowaniem raportów PDF, wizualizacją wyników i przykładami logów. Dodano możliwość szybkiego uruchomienia przez Docker do ekspresowej weryfikacji. Jednak testy ujawniły anomalię: WAF Imperva Cloud blokował 100% ruchu od narzędzia testowego, w tym legalne żądania, co wskazuje na agresywną heurystykę skierowaną przeciwko samym środkom audytu.

Co jest ważne

  • Ataki Padding Evasion stały się nowym kryterium — zdolność WAF do analizowania żądań dowolnej wielkości jest kluczowa dla ochrony przed takimi zagrożeniami jak React2Shell.
  • Balans metryk jest obowiązkowy — wybór WAF tylko według jakości bezpieczeństwa lub wykrywania prowadzi do ryzyka podatności lub niedostępności usług.
  • Architektura decyduje o wyniku — tylko analiza strumieniowa w połączeniu z uczeniem maszynowym pozwala na realizację zachowania Full Coverage bez utraty wydajności.
  • Konfiguracja ma znaczenie — testowanie niektórych produktów w różnych trybach (np. open-appsec) pokazało, że ustawienia znacząco wpływają na zrównoważoną dokładność.
  • Narzędzia testowania stały się bardziej złożone — współczesne platformy dostarczają szczegółowe raporty, niezbędne do uzasadnionego wyboru i konfiguracji WAF.

— Editorial Team

Advertisement 728x90

Czytaj dalej