-1

私の知る限り、製品は 2 つのカテゴリに分類されます。McAfee、Comodo などのスキャン サービスと、Burp Proxy、HP の WebInspect、CodeScan などのツールです。

理想的な世界では、特定の URL (ターゲットは LAMP スタック) をアクティブにスキャンするものを毎日 (またはスタンドアロン ツールの場合は必要に応じて) 使用しますが、スタンドアロン ツールには少し注意が必要です。それらの適用範囲と更新頻度の条件。(McAfee などの「リモート」スキャナーは、必要に応じて更新されると思われます。)

また、いくつかのスタンドアロン ツール (残念ながらどれを思い出せません) にも問題があり、URL 書き換えシステム内で自分自身を失ってしまいました (ファセット検索が行われているため、URL フロントでかなり深いことが想像できます)。 )。

そういうわけで、私は人々がそこにある製品でどのような経験をしたか、そしてスタンドアロンツールがスキャンサービスに匹敵するかどうか疑問に思っています.

(ちなみに、ペネトレーション テスト ツールについては知っています。それ以降、状況が変わったのではないかと思っているだけです)。

4

1 に答える 1

1

侵入テストとエクスプロイトの開発を行いました。直接の経験から、ハッキングは何らかのツールを発射するだけではないことがわかります。ツールによって生活が楽になることもありますが、自分が何をしているのかわからなければ、ツールは役に立ちません。

システムが安全であることを知りたい場合は、熟練したハッカーに侵入してもらう必要があります。PCI -DSS は、クレジット カード処理に必要な認証であり、サーバーで定期的な侵入テストを実施することを義務付けています。非常に安全なサーバーが必要な場合は、定期的な侵入テストを実施することを採用する必要があります。

Web サーバーの非常に優れたセキュリティ対策は、Web アプリケーション ファイアウォール (WAF) です。WAF は、PCI-DSS にも必要です。Mod_securityは無料のオープン ソース WAF です。Mod_Security を使用すると、何百もの異なる種類の攻撃を防ぐことができます。WAF は、ペネトレーション テスターに​​とって悪夢になるか、ハッカーになる可能性があります。

于 2010-01-17T21:12:17.937 に答える