Digamos que una aplicación web está detrás de un WAF bien configurado, ¿todavía hay una ventana de ataques relacionados con la inyección HTTP como SQLi, XSS, LFI, HTMLi?
Si es así, ¿un WAF se considera una medida de defensa redundante?
Absolutamente, no hay protecciones perfectas por lo que hay nuevas formas de inyección que aparecen de vez en cuando y, a menudo, habrá una ventana de oportunidades entre cuando se publica ese nuevo tipo de ataques y cuando se soluciona o parchea.
Muchos WAF pueden ofrecer seguridad positiva, que es una protección muy fuerte contra ataques aún desconocidos en muchos casos, que requerirían más configuración y mantenimiento, pero pueden ser muy buenos para la seguridad.