Эволюция угроз: WAF против новых векторов атак

В корпоративной инфраструктуре до сих пор живет опасная иллюзия: если WAF установлен и настроен по базовым правилам — значит, веб-приложения защищены.

На практике всё чаще происходит иначе: защита формально есть, сертификаты получены, отчёты формируются — а первая новость о взломе приходит от клиентов, обнаруживших подмену платёжных форм или утечку персональных данных.

Разберём, чем атаки 2026 года отличаются от прошлогодних, почему классических сценариев OWASP Top 10 больше не хватает, какие задачи современный WAF действительно закрывает и почему умные боты стали главной головной болью бизнеса.

Многие компании уверены, что внедрение WAF и следование OWASP Top 10 закрывает основные риски для веб-приложений.

Проблема в том, что атаки 2026 года давно перестали быть «громкими». Если раньше злоумышленники в основном эксплуатировали классические SQL-инъекции и XSS, то сегодня они:

• используют многоэтапные атаки с подбором бизнес-логики приложения,
• применяют умных ботов, неотличимых от реальных пользователей,
• атакуют через API-эндпоинты легитимными запросами,
• эксплуатируют устаревшие протоколы в Legacy-системах.

Вредоносного payload’а в классическом понимании может не быть вовсе. А значит — нет и сигнатуры, по которой сработает традиционный WAF.

WAF не обязан видеть злоумышленника, если тот действует как обычный клиент.

По данным аналитики первого квартала 2026 года, решение WMX ProWAF отразило порядка 196 миллионов веб-атак — прирост почти на 4,5 миллиона по сравнению с аналогичным периодом прошлого года.

Около 40% успешных кибератак сегодня начинаются именно с веб-приложений. И структура этих атак заметно изменилась.

1. Финансовый сектор — в среднем 1,5 млн атак на организацию за квартал. Основной удар пришёлся на межсайтовый скриптинг (XSS), который занял 22% от всех зафиксированных событий. Последствия: кража учётных данных интернет-банка, подмена реквизитов в платёжных формах, перехват транзакций.

2. Онлайн-ритейл — здесь доля XSS превысила 30%. Причина — обилие интерактивных элементов: строки поиска, формы отзывов, корзина, страницы оплаты. Каждый такой элемент может стать точкой входа. Ущерб — не только репутационный, но и прямой финансовый: манипуляция корзиной, кража промокодов, подмена контента на страницах оплаты.

3. IT-компании — главная угроза здесь не конкретные уязвимости, а массовое сканирование автоматизированными средствами. IT-компании имеют сложную многокомпонентную архитектуру, множество интеграций — и каждый элемент может содержать брешь.

Классический OWASP Top 10 описывает уязвимости, но не описывает сценарии злоумышленников. А именно сценарии стали главным вектором атак в 2026 году.

Почему OWASP уже недостаточно
В 2026 году наиболее актуальны атаки, которые технически выглядят полностью легитимно:
API abuse — легитимные запросы к API, но с вредоносной бизнес-логикой (многократное применение промокода, накрутка бонусов).
Session polishing — бот сначала «прогревает» сессию (кликает, листает, делает паузы), а потом наносит удар.
Атаки на бизнес-логику — использование функционала приложения против него самого.

OWASP Top 10 не учит защищаться от того, что технически всё «легально». Требуются профили поведения, контекстные правила и, как минимум, дополнение антибот-модулем.

Даже внедрённый WAF не даёт полной защиты по нескольким причинам.

1. Человеческий фактор — ни один разработчик не пишет код с уязвимостями осознанно, но когда бизнес требует скорости, а команда работает с десятками микросервисов и open-source библиотек — ошибки неизбежны.

2. Скорость против безопасности — релизы каждую неделю, а иногда и каждый день. Полноценное тестирование безопасности воспринимается как тормозящий фактор, и его сокращают. Уязвимости уходят в продакшн.

3. Технологическое разнообразие — современное веб-приложение это «зоопарк» из API, микросервисов на разных языках, open-source библиотек и очередей сообщений. Каждый слой приносит свой класс уязвимостей — уследить за всем вручную невозможно.

4. Устаревший код — Legacy-сервисы, которые боятся трогать. Протокол SOAP, WSDL-файлы (по сути — дорожная карта для сканера), старые XML-парсеры с известными уязвимостями, которые никто не обновляет из страха сломать интеграции. Именно такой код становится первой целью атакующего.

Во время демонстрации на вебинаре были показаны реальные сценарии, которые WAF в режиме мониторинга фиксирует, но не блокирует без дополнительной настройки:

• XSS-атака — внедрение вредоносного скрипта в браузере. На демо-стенде это привело к дефейсу страницы (появлению постороннего текста). WAF зафиксировал атаку, но пропустил её к приложению.
• SQL-инъекция — получение данных из базы данных через веб-приложение. WAF снова зафиксировал попытку, но данные были скомпрометированы.
• Path traversal — попытка получить доступ к системным файлам через обход путей.

Только после переключения WAF в режим блокировки вредоносные запросы стали отклоняться с кодом 403.

Отдельно был продемонстрирован массовый скан IT-компании — автоматизированный сканер генерировал десятки атак в секунду (XSS, SQLi, path traversal). Классический WAF без антибот-модуля фиксирует каждую попытку, но не отличает сканер от реального пользователя.

После просмотра демонстрации становится очевидно: WAF сегодня эффективен, но в строго определённых границах.

WAF действительно закрывает:

• массовые сканирования и эксплуатацию известных CVE,
• классические SQL-инъекции, XSS, path traversal,
• грубый brute-force и простые DDoS на уровне приложения,
• фильтрацию «мусорного» трафика на периметре.

Где WAF особенно эффективен: На периметре перед legacy-приложениями, которые нельзя быстро пропатчить — как первый фильтр, отсекающий 80−90% типовых атак.

Что WAF НЕ закрывает без доработок:

• умных ботов, которые имитируют поведение реального пользователя,
• атаки на бизнес-логику через легитимные API-запросы,
• распределённые во времени многоэтапные атаки.

Из обсуждения и вопросов участников вебинара можно выделить несколько ключевых практических моментов.

Антибот — не опция, а необходимость. Половина интернет-трафика сегодня приходится на автоматизированную часть — на ботов. И большая их часть является вредоносной. Именно под этот запрос WMX в 2025 году запустила разработку модуля SmartBot Protection.

SmartBot Protection работает как многослойная система:

• работа с чёрными списками,
• JavaScript Challenge для проверки браузера,
• установка куки,
• поведенческая проверка пользователя,
• проверка TLS-хендшейка,
• проверка, что это не Selenium, а реальный браузер.

Важный архитектурный нюанс: антибот встаёт на ту же ноду, что и WAF (как дополнительный модуль к Nginx), и работает **раньше**, чем WAF. Он срезает паразитный ботовой трафик, а WAF уже занимается своей прямой задачей — детектом веб-атак. Ресурсозатраты минимальны: буквально 15 МБ оперативной памяти на каждые 100 RPS.

API-безопасность требует отдельного подхода. Для защиты API и бизнес-логики классического WAF недостаточно. Требуются решения, которые работают по позитивной модели: вы явно описываете допустимые эндпоинты, параметры запросов и ответов, и всё, что не соответствует спецификации — блокируется. Именно для этого в линейке WMX есть отдельный продукт ProAPI.

Гео-базы и обновления без проблем. В условиях импортозамещения WMX использует отечественные гео-IP-базы, есть возможность подгрузки собственных списков и офлайн-обновлений. Блокировка по странам и VPN — штатная функциональность.

Производительность и простота внедрения. Установка с запуска занимает около часа, не требуется выделенной команды внедрения. Решение является динамическим модулем к Nginx или его отечественному форку. Минимальные затраты на администрирование — 15−20 минут в день для оценки состояния.

Вернёмся к ключевому тренду, который прозвучал в начале вебинара и прошёл красной нитью через всё обсуждение.

Боты в 2026 году перестали быть глупыми скриптами. Они:

• имитируют поведение реального пользователя с точностью до таймингов,
• «прогревают» сессии перед атакой,
• используют реальные браузеры, а не эмуляторы,
• распределяют активность во времени.

Классический WAF, который смотрит на сигнатуры и простые частотные пороги, против таких ботов бессилен. Запрос выглядит легитимно, приходит с реального браузера, с правильными заголовками, с человеческими паузами. Отличить его от обычного клиента может только поведенческий анализ и специализированный антибот-модуль.

Вопрос «что я получу, внедрив современный WAF с антиботом?» — самый практичный. Ответ:
1. Защиту от массовых атак — WAF отсекает типовые SQL-инъекции, XSS, path traversal и сканирования.
2. Фильтрацию ботового трафика — антибот-модуль срезает паразитную нагрузку до того, как она дошла до бэкенда.
3. Виртуальные патчи для legacy-систем — прикрытие уязвимостей, которые нельзя быстро закрыть в коде.
4. Понятную аналитику — кто, откуда, как и чем атакует ваши веб-приложения.
5. Прозрачность внедрения — модуль к Nginx без необходимости переписывать архитектуру.

OWAP-топ-10 — это база, необходимая, но уже недостаточная. Современные злоумышленники в 2026 году:

• массово используют умных ботов,
• атакуют через бизнес-логику,
• эксплуатируют API,
• действуют тихо и распределённо,
• избегают сигнатурных детектов.

Поэтому вопрос уже не в наличии WAF как такового, а в его способности:

• анализировать поведение,
• отличать человека от бота,
• защищать API на уровне спецификаций,
• работать в связке с антиботом,
• адаптироваться под новые векторы атак.

Именно переход от «у нас стоит WAF по списку OWASP Top 10» к «мы видим и блокируем атаки на бизнес-логику и автоматизированных ботов» позволяет реально защищать веб-приложения в 2026 году — когда классические сигнатуры перестали работать.