Perché la XSS non può essere rilevata da un firewall di applicazioni Web?

Se strettamente regola il WAF per l'applicazione in modo che possa distinguere completamente input validi da input non validi per specifici campi di input di quanto si dovrebbe essere in grado di rilevare tentativi di iniettare XSS persistente attraverso l'uso di input campi.

Ma di solito i WAF non sono adattati strettamente all'applicazione specifica e in questo caso impiegano solo un'euristica per rilevare gli attacchi comuni. Oltre a questo XSS persistente può avere origini diverse e non è nemmeno necessario aggiungerlo all'applicazione utilizzando i campi di input o addirittura utilizzando l'interfaccia web. Ad esempio, c'è stata una vulnerabilità XSS memorizzata all'interno del negozio di Kindle amazon dove l'XSS è stato causato dallo script all'interno dei metadati della descrizione del libro: Amazon XS memorizzato tramite metadati del libro .

Penso che il punto non sia formulato idealmente, poiché un WAF può effettivamente catturare alcuni attacchi XSS persistenti.

Ma ci sono almeno due problemi:

• gli attacchi XSS persistenti non avvengono solo tramite richieste web, ma possono avvenire tramite una varietà di altri mezzi, come la posta elettronica. La vulnerabilità viene realmente introdotta solo quando i dati vengono letti dall'archivio dati, ad esempio il db, e quindi stampati. Se WAF non ascolta la connessione tra db e server, che non è molto comune per quanto ne so, non può rilevarlo.
• Manca il contesto. Un WAF può esaminare la richiesta in entrata e l'output generato. In questo modo, è in grado di dire in quale contesto viene inviato l'input dell'utente e se è sicuro farlo. Per XSS persistente, questo contesto è mancante, quindi non è chiaro se es. ');alert('1 sia sicuro o meno (o come viene gestito l'input e se è reso sicuro tramite la codifica).