我曾让我的老板使用在线服务对我们的服务器进行漏洞扫描,但令人沮丧的是,我们实际上并没有像报告所说的那样受到漏洞的影响。
我是在自欺欺人,还是我说得对,这些服务“假设”因为你允许在你的网站上发帖,所以它存在漏洞?我已经测试了许多注入攻击,我们的服务器返回永远不会允许它们执行,因为代码会阻止它。
使我的服务器免受这些扫描的最佳方法是什么?我得到了一些信息,例如阻止 apache/php/openSSL 报告其版本,特别是因为我使用了 Debian 安全团队的安全修补版本,该版本不一定与 PHP 的修补版本相匹配。
答案1
这些报告的问题在于,它们只是假设如果您允许用户在网站上输入数据,那么您就容易受到 SQL 注入攻击。如果不实际查看您的 SQL 或执行注入攻击,他们就无法判断,因此它们只是将其标记为潜在问题。
向你的老板证明你是安全的唯一真正方法是请安全专家来检查你的网站,或者让你的老板了解什么是注入攻击,并向他展示它在你的网站上不起作用。