Leí esta página: Categoría: OWASP Mejores prácticas: uso de firewalls de aplicaciones web , y encontré que WAF generalmente no puede detectar ataques lógicos.
Sabemos que cada aplicación web tiene una serie de parámetros de entrada. Creo que estos parámetros de entrada y sus valores válidos asociados pueden extraerse posiblemente mediante la herramienta de análisis de código.
Ahora, mi pregunta es si podemos usar herramientas de análisis de código y pasar sus resultados al WAF para detectar algunos ataques lógicos, como un ejemplo que se ha descrito en esta página: Vulnerabilidades lógicas y técnicas ?
Además, me gustaría saber cuáles son las ventajas de usar el análisis de código con WAF.
Busqué en Google y no pude encontrar ningún WAF que utilice el análisis de código para generar sus reglas o aumentar su rendimiento y disminuir los falsos positivos.