OWASP 拡張機能を備えた mod_security のような多くの Web アプリケーション ファイアウォールを見ました
サーバーでそれを使用すると、誰も私のサイトを PHP コードでハッキングできないと 99% 確信できますか? XSSが好き...
1214 次
6 に答える
2
一言で言えば - いいえ。
Bruce Schneier が言うように、セキュリティはプロセスであり、製品ではありません。Web アプリケーション ファイアウォールは良いアイデアです。玄関ドアに鍵をかけるようなものです。しかし、バックドアが広く開かれている場合、攻撃者はそこからシステムへのアクセスを試みます。
インフラストラクチャの脆弱性 (オペレーティング システム、PHP など) からは保護されません。不適切なパスワードの選択やアプリケーション レベルのバグから保護することはできません。(おそらく) SQL インジェクション攻撃からは保護されず、XSS の機会がまだあるかもしれません。
于 2014-01-29T07:35:14.010 に答える
1
99% 確実というわけではありません。99% 確実である唯一の方法は、「イーサネット ケーブルを抜く」ことです (比喩的に言えば、すべてが仮想であることはわかっています)。
PCI コンプライアンス スキャンを実行することをお勧めします。これは比較的安価であり、サーバー/アプリが脆弱な既知の脆弱性を知ることができます。侵入テストを行うこともできます。そのためのサービスが多数あり、追加の洞察が得られます。
于 2014-01-29T07:27:46.427 に答える
0
ホワイトリスト戦略で WAF を使用し、個人のアクセス ポリシーを構成している場合に可能です。
于 2016-12-26T09:04:31.460 に答える