Diciamo che un'applicazione web è dietro un WAF ben configurato, c'è ancora una finestra di attacchi relativi all'iniezione HTTP come SQLi, XSS, LFI, HTMLi?
Se è così un WAF considerato una misura di difesa ridondante?
Assolutamente, non ci sono protezioni perfette quindi ci sono nuovi modi di fare l'iniezione che appaiono di volta in volta e spesso ci sarà una finestra di opportunità tra quando quel nuovo tipo di attacchi viene pubblicato e quando viene riparato o corretto.
Molti WAF possono fare una sicurezza positiva che è una protezione molto strong contro gli attacchi ancora sconosciuti in molti casi, che richiederebbe più configurazione e manutenzione ma può essere molto buona per la sicurezza.