我曾让老板在使用在线服务的服务器上进行漏洞扫描,试图解释说我们实际上并没有受到报告所说我们所做的漏洞的困扰,这是令人沮丧的。
我在开玩笑吧,还是说这些服务“假设”是因为你允许在你的网站上张贴它是脆弱的? 我testing了一堆注入攻击,我们的服务器返回从不允许它们执行,因为代码停止了它。
什么是使我的服务器免受这些扫描的最佳方式? 我得到了一些东西,比如说停止从报告它的版本来停止apache / php / openSSL,特别是因为我使用了Debian安全团队的安全补丁版本,它不一定与PHP的补丁版本匹配。
这些报告的问题是,他们只是假设,如果您允许用户在您的网站上input数据,那么您很容易受到SQL注入攻击。 如果没有真正查看你的SQL或者执行注入攻击,他们没有办法告诉他们,所以他们只是将其标记为潜在的问题。
向你的老板certificate你是安全的唯一真正的方法是让安全专家进来检查你的站点,或者让你的老板理解什么是注入攻击,并告诉他你的站点没有工作。