Начните с азов
1. классификация от WASC
2. Owasp top ten

И правильно замечено — уже года 3 вплоть до данного момента большинство WAF почему-то пренебрегает защитой файлов веб-приложения и банально не мониторят их.

В дипломе своем как раз прикручивал файловый монитор и прочие плюшки к PHP-IDS $)