根據研究人員表示，只需要使用一些技巧(在少數情況下，只需添加一個單一字符)，熟練的攻擊者就可以繞過WAF提供的額外的安全保護。研究人員將在美國舉行的黑帽會議上展示如何繞過WAF。

從簡單的文件名和路徑名處理，到更復雜的多部分和unicode解析，不同的Web服務器和安全軟件使用不同的方式來處理HTTP協議。漏洞管理公司Qualys的工程總監Ivan Ristic表示，通過利用web服務器及其web應用程序防火墻之間的“脫節”，攻擊者可以繞過這些防御來利用web服務器中的漏洞。

Ristic表示，“這種攻擊方式涉及攻擊web應用程序防火墻解析數據流的方式，目前還沒有關于這些問題的公開討論和披露，除了偶爾出現的漏洞。”

雖然目前還沒有很多攻擊者使用規避技術來竊取數據，但web應用程序防火墻的不斷普及，意味著攻擊者將開始尋找規避這種防火墻的方法。為了幫助用戶和滲透測試者來測試web應用程序防火墻的安全性，Ristic計劃公布將近150個針對他在當前WAF中發現的不同安全漏洞的測試。

Prolexic公司技術傳播者Paul Sop表示，在部署某供應商的產品前，對其產品進行測試，能夠極大地幫助用戶。該公司對很多系統進行了測試，并發現了一些問題，然而，對于大多數企業而言，他們無法完成這種水平的評估。

“有很多不同的攻擊向量，你必須知道哪些攻擊向量對應哪些功能，以及你應該如何進行測試，你如何證明你剛剛激活的控制能夠運作?”他表示，一組強大的測試能夠幫助用戶檢查供應商的產品，幫助供應商改善其系統。此外，很多企業只是開啟了PCI兼容的必要功能，而沒有讓Web應用程序防火墻調整為適應其環境。

Sop表示，“要開啟WAF的某個抽象功能，你需要更深入地了解HTTP協議以及你正在保護的應用程序，如果你不開啟對某事物的保護，那么，它將不會做任何事情。”

Qualys公司的Ristic表示，所幸的是，攻擊者并不會那么快地將WAF鎖定為其目標，并且，設計針對WAF的規避需要具備對這些系統的很多知識。

“這些都是高級攻擊，攻擊者不會使用它們，”他表示，“因為部署這種類型的攻擊需要花費大量精力和時間，只有當高價值目標出現時，攻擊者才會使用這些規避技術。”

總體而言，WAF是一個很好的安全技術，但是需要大量更深入的研究，此外，供應商對于其技術和產品，需要更加透明。

“用戶必須向供應商表明，他們非常關心WAF的質量，”他表示，“十年以來，我一直在參與WAF的開發工作，對于目前的市場狀態，我感到非常失望。”