بسته هاي وب ، به صورت requestو response هستند. بدين معني كه شما درخواستي به وب سرور مي دهيد و بعد جواب ان براي شما ارسال مي شود. به همين دليل , برخي signature هاي waf براي شناسايي حملات در request هستند و برخي براي response. به طور مثال LFI در request شناسايي مي شود و directory listing در response
هميشه در تحليل request حتما جواب را هم ببنيد و بلعکس
در بسياري از موارد براي ديدن كامل جواب ارسال شده از سمت وب سرور نياز است تا packet level تحليل انجام شود. به طور مثال ، در صورتي كه حمله sql injection انجام شود،براي ديدن اينكه چه اطلاعاتي از سمت ديتابيس در ازاي query ارسال و در صفحه نمايش داده شده است نياز به pcap مي باشد.
پروتكل http يك پروتكل stateless مي باشد. اين بدان معناست كه در خود بسته هاي ارسال و دريافتي ارتباط آنها مشخص نمي شود. به همين دليل ، در بسياري از موارد بايستي از اطلاعات IPو TCP استفاده شود. البته استفاده از session id هم مفيد خواهد بود.
همواره شناخت درستي از زبان هاي برنامه نويسي، تكنولوژي ها و ديتابيس ها مورد استفاده خود داشته باشيد تا بتوانيد false positive را شناسايي كنيد.
اناليزگر بايستي رفتار نرم افزار هاي اسكنر را بشناسد و سريع آنها را فيلتر كند.
اناليز رفتار ترافيك شبكه اي مي تواند تحليلي از تست توسط ابزار يا تست دستي را مشخص نماید.
و در انتها شما براي تحليل حملات وب ، می بایستی حتما حملات تحت وب را بشناسید.