Ja. Aber am Ende war es Overkill und hat mega viele False Positives geschmissen. Daher habe ich es irgendwann wieder rausgeschmissen.
An sich sind WAFs ja auch nur Symptombekämpfung. Wenn die Webanwendung in sich so unsicher ist, dass man vorher mit einer WAF etwas abfangen muss, dann sollte man eher an der Anwendung anfassen. Oder anders herum betrachtet: Wenn die Anwendung safe ist, kann man sich die WAF sparen.
Am Ende nutze ich nur noch einiges Tweaks im Webserver (ACLs, Header Checks, etc.) und Anubis. Das entfernt so ein bisschen das Grundrauschen und Crawler/Bots einigermaßen gut, ansonsten schaue ich halt, dass ich die Probleme an der Ursache anfasse.
Und ja, natürlich kann man Dritttools nur bedingt beeinflussen. Wobei: Einerseits kann man bei freier Software ja Fixes beitragen oder zumindest melden, und andererseits kann man immer noch andere Software nutzen. Oder zumindest die Software per ACLs vom freien Internet abschotten.
