نصيحة بشأن أدوات اختبار المسح / الاختراق
https://stackoverflow.com/questions/2078776
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
بقدر ما أستطيع أن أرى العروض تنقسم إلى فئتين - خدمات المسح الضوئي مثل MCAFEE ، COMODO ، إلخ.
في عالم مثالي ، كنت أستخدم شيئًا تم مسح عنوان URL لضوئيًا فعليًا (الهدف كونه مكدس مصباح) على أساس يومي (أو كما هو مطلوب إذا كان أداة مستقلة) ، لكنني حذر بعض الشيء من الأدوات المستقلة في شروط تغطيتها وتواتر التحديث. (من المفترض أن يتم تحديث الماسحات الضوئية "البعيدة" مثل MCAFEE كما هو مطلوب.)
لقد واجهت أيضًا مشكلات مع بعض الأدوات المستقلة (لا يمكنني تذكر أي واحد للأسف) التي تمكنت من فقدان نفسها ضمن نظام إعادة كتابة عنوان URL لدينا (هناك بحث عن الوجه في اللعب ، حتى تتخيل أن الأمور تتعمق إلى حد ما على واجهة عنوان URL ).
على هذا النحو ، أنا فقط أتساءل ما هي التجارب التي مر بها الناس مع العروض هناك وما إذا كانت الأدوات المستقلة تتكدس مع خدمات المسح.
(بالمناسبة ، أنا على علم أدوات اختبار الاختراق - أنا فقط أتساءل عما إذا كان الموقف قد تغير منذ ذلك الحين)
المحلول
لقد أجريت اختبار الاختراق و استغلال التنمية. أستطيع أن أخبركم من التجربة المباشرة أن القرصنة لا يقتصر على إطلاق بعض الأدوات. في بعض الأحيان ، قد تجعل الأدوات الحياة أسهل ، ولكن إذا كنت لا تعرف ما تفعله ، فلن تساعد الأداة.
إذا أردت أن أعرف أن نظامك آمن ، فأنت بحاجة إلى ارتفاع متسلل ماهر. إجراء اختبار الاختراق المنتظم هو شيء يجب أن تتبناه إذا كنت ترغب في الحصول على خادم آمن للغاية.
مقياس أمان جيد جدًا لخوادم الويب هو جدار حماية تطبيق الويب (WAF). WAFS مطلوب أيضا من قبل PCI-DSS. mod_security هو WAF مجاني ومفتوح المصدر. يمكن استخدام Mod_security لمنع مئات الأنواع المختلفة من الهجمات. يمكن أن يكون WAF كابوسًا لاختبار الاختراق أو سيكون متسللًا.
