В докладе рассмотрены методы поиска путей обхода современных файрволов для веб-приложений, которые позволили автору найти в автоматическом режиме более 300 уязвимостей. Аудитория знакомится с методическим поиском способов обхода на примере открытых проектов ModSecurity 2 и 3, libinjection, PHPIDS (PHP-Intrusion Detection System), Comodo Web Application Firewall, QuickDefense — WAF. Докладчик рассказывает о памятке по безопасному использованию регулярных выражений, которую скоро выпустит OWASP. В завершение продемонстрирован способ эффективно использовать фаззинг для поиска путей обхода лексических технологий на примере токенайзеров.