O WAAP clássico inspeciona payloads de requisições HTTP em busca de assinaturas de ataque conhecidas — SQL injection, XSS, command injection. Esse trabalho ainda é essencial, e a maioria dos ataques ainda o atinge. Mas a superfície de ataque não é mais apenas payloads HTTP assinados.
APIs públicas carregam tráfego que não se parece com uma requisição de navegador, e as regras WAAP tradicionais as ignoram. Bots automatizados emulam usuários reais, evitam verificações de assinatura e exaurem credenciais em escala. O takeover de conta acontece por meio de campanhas de credential stuffing que atingem endpoints de login válidos com tráfego de aparência legítima. JavaScript de terceiros nas suas páginas exfiltra dados de formulários diretamente para o atacante — e seu WAAP nunca vê isso, porque os dados saem do navegador antes de chegar ao seu servidor.
A resposta do setor é WAAP — Web Application and API Protection — um único guarda-chuva que adiciona segurança de API, gerenciamento de bots, prevenção de takeover de conta e defesa client-side ao WAAP. TR7 implementa esse guarda-chuva como uma única plataforma, on-prem, vinculada ao mesmo vService que já entrega sua aplicação.
Cada um tem valor por si só. Juntos, redefinem como uma plataforma de proteção de aplicações web e API se parece quando não depende da nuvem de outra pessoa.
A maioria das opções modernas de WAAP roteia seu tráfego por uma nuvem de borda que você não opera. TR7 WAAP roda no seu hardware, no seu data center, sob seus controles de rede. Sem interceptação de tráfego por terceiros, sem descriptografia de requisições fora do perímetro, sem borda multi-tenant compartilhada.
WAAP (OWASP Top 10 + assinaturas personalizadas + Virtual Patching), segurança de API (discovery + OpenAPI schema enforcement), gerenciamento de bots, prevenção de takeover de conta, proteção L7 DDoS, defesa client-side e Magecart. Uma plataforma; não uma suíte costurada de appliances separados.
10.000+ assinaturas ativas continuamente atualizadas. Cobertura 10/10 no OWASP Web Top 10 e no OWASP API Top 10. Cada detecção mapeada nativamente para 100+ códigos CWE, 30+ padrões CAPEC e 30+ técnicas MITRE ATT&CK — assim seu SOC e equipe de conformidade veem os eventos WAAP na mesma taxonomia que já utilizam.
Motor de pontuação comportamental com 11 fatores adapta-se ao tráfego normal da sua aplicação — impressões digitais TLS, reputação de IP em 23 categorias, ritmo de requisições e mais. Além disso: um motor de regras consciente de conteúdo capaz de aplicar rate limit ou agir sobre qualquer atributo de tráfego, incluindo valores parseados de corpos JSON, conteúdo de headers ou cookies — sem escrever uma única linha de script.
DDoS volumétrico absorvido na borda da sua rede, requisições bloqueadas pelo WAAP, desafios de bots e tráfego com rate limit — nada disso conta para o seu medidor de largura de banda. Quanto mais seu WAAP trabalha, maior a diferença entre throughput e largura de banda faturável.
Cada capacidade abaixo faz parte da plataforma WAAP e se conecta aos seus vServices existentes.
Cobertura 10/10 tanto no OWASP Web Application Top 10 quanto no OWASP API Security Top 10. SQL injection, XSS, command injection, CSRF, path traversal, broken object-level authorization e os demais — todos cobertos por assinaturas gerenciadas com atualizações contínuas.
Conjunto de assinaturas continuamente atualizado cobrindo padrões de ataque conhecidos, primitivos de exploit e CVEs emergentes. O Virtual Patching converte um novo CVE em regra implantada em horas, não semanas.
Cada detecção mapeada para seu código CWE (100+ códigos), padrão CAPEC (30+ padrões) e técnica MITRE ATT&CK (30+ técnicas). Investigações SOC, correlação SIEM e relatórios de conformidade falam a mesma taxonomia do restante do seu stack de segurança.
Adicione assinaturas específicas da organização, regras de exceção e patches virtuais. Escopo de regras por vService para que uma política em um serviço não afete outro.
API discovery expõe os endpoints realmente em uso. O OpenAPI schema enforcement valida método, path, parâmetros e corpo da requisição contra o contrato. Rate limits e restrições de método por endpoint.
Motor de pontuação ponderada com 11 fatores analisa impressões digitais TLS, reputação de IP em 23 categorias, ritmo e forma das requisições. O baseline comportamental se adapta ao tráfego normal da sua aplicação ao longo do tempo, com curva de pontuação exponencial ajustada para baixo índice de falsos positivos.
Rate limit, desafio ou bloqueio sobre qualquer atributo de tráfego — valores de headers, conteúdo de cookies, parâmetros de URL e até valores dentro de corpos JSON parseados. Tudo configurado visualmente no mesmo construtor de regras usado em toda a plataforma. Sem linguagem de scripting proprietária.
Detecta padrões de credential stuffing em endpoints de login. Reconhece tentativas distribuídas low-and-slow, impossible travel e taxas anormais de criação de sessão que o rate limiting de IP único não captura.
HTTP-flood, slow-loris e ataques volumétricos de camada de aplicação absorvidos na camada WAAP. Combine com a proteção L4 DDoS do TR7 para cobertura completa de vetores.
Monitora scripts de terceiros carregados pelas suas páginas. Detecta alterações não autorizadas em scripts, padrões suspeitos de exfiltração de dados de formulários e ataques de skimming de cadeia de suprimentos que o WAAP server-side não consegue ver.
Bancos de dados de assinaturas para WAAP, impressões digitais de bots e feeds de reputação de IP são atualizados continuamente — sem ciclo manual de download, sem defasagem de versão entre sites.
A terminação TLS suporta suítes de cifra pós-quânticas junto com as clássicas — pronto para a migração sem rearquitetar quando se tornar obrigatório.
Agrupe serviços por tenant ou unidade de negócio; aplique política no nível do grupo. Um ruleset para o tenant corporativo, outro para o tenant do cliente, ambos em uma plataforma.
Páginas de bloqueio com marca por política. Mostre a mensagem certa para a requisição bloqueada correta; sirva uma página de manutenção quando um ataque acionar um bloqueio automático.
Quando a inspeção de payload não é suficiente — a requisição parece limpa, mas o atacante está visando o DOM renderizado pelo navegador — a camada de isolamento ZeroLeak renderiza a aplicação fora do dispositivo, de modo que não há nada na máquina do usuário para o atacante exfiltrar.
Cada decisão WAAP — bloqueada, desafiada, permitida — emite telemetria estruturada. Investigue qualquer requisição de ponta a ponta pelo mesmo console usado para gerenciar o vService.
Seis estágios bem definidos. Cada estágio configurável por vService. Cada estágio visível como diagrama no Dynamic Flow Panel.
A requisição chega ao listener do vService. O TLS termina aqui para que as camadas WAAP possam inspecionar o texto claro. Cifras modernas, handshakes acelerados por hardware.
Proteção L7 DDoS, feeds de reputação de IP e política geográfica rodam antes da inspeção profunda. Tráfego de flood óbvio e fontes notoriamente maliciosas são descartados sem consumir orçamento de inspeção.
Verificações de assinatura OWASP, regras personalizadas, detecção de ataques estruturais, validação de parâmetros e argumentos. Requisição pontuada e decidida: permitir, bloquear, Virtual Patching ou passar para análise comportamental.
Sinais de assinatura e comportamento pontuam a requisição como humano, bot conhecido ou automação desconhecida. Mitigação por política: permitir, desafiar, throttle ou descartar.
Para requisições direcionadas a um endpoint de API, a verificação do schema OpenAPI valida método, path, parâmetros e corpo contra o contrato. Divergências acionam a ação configurada.
A decisão é aplicada — passar para o backend, retornar uma página de bloqueio, emitir um desafio ou aplicar rate limit. A cadeia de decisão completa é registrada para investigação e conformidade.
O gerenciamento de bots bloqueia credential stuffing e bots de carding durante eventos de alto tráfego. Regras WAAP detêm ataques OWASP Top 10; a defesa client-side impede que skimmers coletem dados de cartão no checkout.
Controles exigidos pelo OWASP, prevenção de takeover de conta em endpoints de login, proteção de API para fluxos de open banking e logging pronto para auditoria em revisões regulatórias.
Proteção de dados de pacientes na camada de aplicação, implantação on-prem mantém PHI dentro do perímetro hospitalar, validação de schema em APIs do portal para prevenir vazamento de dados por injeção.
WAAP on-prem para serviços voltados ao cidadão onde residência de dados não é negociável. Cobertura OWASP para frameworks de conformidade, logging de auditoria para a equipe de operações de segurança.
Validação de schema contra o contrato OpenAPI, rate limiting por endpoint, restrições de método, validação de parâmetros. Combinado com gerenciamento de bots para deter scraping de API e credential stuffing.
Endpoints de login sob pressão contínua de credential stuffing. A detecção ATO reconhece tentativas distribuídas, impossible travel e taxas anormais de criação de sessão que o rate limiting de IP único não captura.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Complete flags HttpOnly, Secure e SameSite ausentes na camada de resposta — sem alterações na aplicação.
Inspeção WAAP, identidade mTLS e mascaramento de dados continuam funcionando mesmo enquanto o tráfego flui para backends via TLS.
Transforme campos do corpo JSON e conteúdo JWT em sinais de primeira classe para cada decisão de tráfego.
Mascare, substitua ou injete HTML no conteúdo de resposta — sem alterar uma linha de código do backend.
Em vez de bloquear instantaneamente, monitore o comportamento; coloque a fonte que ultrapassa o limite em quarentena temporária e libere-a automaticamente.
Uma linguagem de expressões — tráfego, saúde, logging, GTM, segurança e decisões de acesso no mesmo modelo.
Veja o tráfego de produção requisição por requisição — transforme a observação diretamente em ações de regra.
30+ dimensões de detalhamento, três formatos (PDF / XLSX / HTML), até 10 anos de histórico no appliance — sem servidor de gerenciamento separado.
3000+ regras, taxonomia OWASP / API Top 10 / CWE, 14 eixos de correlação, rollups por host group + cross-group.
Oculte valores de cookie do cliente — proteja a integridade da sessão sem tocar no código do backend.
Vá além dos headers — faça o conteúdo do corpo parte da decisão de tráfego e segurança.
Mova o TLS além da configuração baseada em arquivo — transforme-o em um perfil de segurança por serviço, ciclo de vida de certificado e camada de prontidão pós-quântica.
Insira o TR7 ADC no caminho de tráfego sem tocar em endereços IP de backends, gateways ou rotas.
Gerencie FTP não como uma porta aberta, mas como uma sessão de transferência de arquivo controlada comando a comando.
ADC, roteamento e segurança L3/L4 de um único console.
Combine assinatura, pontuação e contexto em um único motor — gerencie ataques conhecidos com confiança.
Geração, entrega e verificação — tudo dentro do ADC. Zero chamadas a serviços de nuvem de terceiros.
Adicione sua própria lógica WAAP ao lado do conjunto de assinaturas integradas — mesmo motor de pontuação, mesmos logs, mesmo pipeline de política.
Converta contexto de país e ASN em decisões de acesso — sem dependência de serviços externos.
O feed central do TR7, listas de URL externas e suas próprias exceções convergem em um único motor de reputação de IP.
Colete, classifique, replique e encaminhe tráfego syslog UDP e TCP na frente do seu SIEM.
Acelere o tráfego DNS empresarial e bloqueie consultas maliciosas — em uma única camada.
Não apenas uma lista de IPs — inteligência de tráfego real em mais de 60 critérios, grupos AND/OR/NOT e cadeias de Smart Functions.
Feche uma vulnerabilidade na camada de tráfego em minutos — sem necessidade de alteração de código.
Não trate tráfego GraphQL como um corpo POST simples — capture introspecção, DoS aninhado e padrões de query batching dentro do seu WAAP.
Aplique 8 cabeçalhos de segurança na camada ADC sem tocar no código da aplicação.
Em vez de um genérico 'acesso negado', ofereça uma experiência de bloqueio controlada que carrega marca, idioma e código de motivo.
Solicite uma demo ao vivo do TR7 WAAP. Vamos configurar WAAP, segurança de API, gerenciamento de bots e defesa client-side no seu ambiente em uma única sessão.