Web Application Firewalls are essential for web security in higher education, but evaluations often rely on algorithmic measures instead of practical application. This study investigates WAF use across 204 Turkish university sites using a diverse detection methodology, including passive and active testing tools. Findings indicate a preference for cloud-based WAFs, particularly Cloudflare, while also exposing significant vulnerabilities due to misconfigurations or default settings. Despite the efficiency of well-configured cloud WAFs in mitigating common OWASP Top 10 threats, the research highlights the risks of centralized security structures, such as service outages and slow reactions to zero-day vulnerabilities. To mitigate these problems, an adaptive defense-in-depth strategy is proposed that integrates WAFs into a robust security framework with anomaly detection and host-based controls; thus providing practical insights for organizations wishing to enhance web security systems with open-source solutions.
Web Uygulama Güvenlik Duvarları (WUGD), yükseköğretimde web güvenliği için hayati öneme sahiptir, ancak değerlendirmeler genellikle pratik uygulamadan ziyade algoritmik ölçümlere dayanmaktadır. Bu çalışma, pasif ve aktif test araçları da dahil olmak üzere çeşitli tespit metodolojileri kullanarak 204 Türk üniversite sitesinde WUGD kullanımını araştırmaktadır. Bulgular, özellikle Cloudflare olmak üzere bulut tabanlı WUGD'lere yönelik bir tercihi gösterirken, yanlış yapılandırmalar veya varsayılan ayarlar nedeniyle önemli güvenlik açıklarını da ortaya koymaktadır. İyi yapılandırılmış bulut WUGD'lerinin yaygın OWASP Top 10 tehditlerini azaltmadaki verimliliğine rağmen, araştırma, hizmet kesintileri ve sıfır gün güvenlik açıklarına yavaş tepkiler gibi merkezi güvenlik yapılarının risklerini vurgulamaktadır. Bu sorunları azaltmak için, WUGD'leri anormallik tespiti ve ana bilgisayar tabanlı kontrollerle birlikte dayanıklı bir güvenlik çerçevesine yerleştiren uyarlanabilir bir derinlemesine savunma stratejisi önerilmektedir; böylece web güvenlik sistemlerini açık kaynak sistemlerle geliştirmek isteyen kurumlar için pratik bilgiler sağlanmaktadır.