He leído sobre los cortafuegos de aplicaciones web en un MOOC, y el ejemplo proporcionado es que WAF puede filtrar una solicitud como ?user=<script para evitar posibles ataques XSS.
Pero, ¿qué sucede si una página web de la aplicación permite ver el perfil de un usuario de forma similar a view_user?name=... (en lugar de basado en ID)? Podría establecer mi nombre en <script en el formulario de registro más o menos, y entonces, nadie podrá ver mi perfil, porque la página sería legítimamente view_user?name=<script y el WAF lo rechazará.
Este nombre de usuario suena extraño, pero puede ser una ventaja tener un perfil no accesible en algunas aplicaciones: como, en un juego en el que tienes que ver la página del jugador [o la página de una ciudad o la página de un personaje, etc.] para atacarlos, en un foro en el que necesites llegar a la página de un usuario para editarlos / prohibirlos, etc.
En términos más generales: ¿puede evitar los efectos secundarios de las reglas WAF que rompen la lógica de negocios? ¿Cómo?