@ner
3年前 提问
1个回答
企业如何达到最佳安全级别
一颗小胡椒
3年前
做到以下几点:
使用启发式检测。
如果您只使用基于签名的检测系统,那么您只是在保护您的资产免受脚本攻击。专业的黑帽黑客依靠发现Web应用程序漏洞,这些漏洞只能使用启发式Web漏洞扫描程序(例如Acunetix)或手动渗透测试来发现。
web安全优先于网络安全。
如果您更关注网络安全而不是web安全,那么您应该认识到,在过去几年中,由于网络安全问题(比如与SSL/TLS错误相关的那些)而发生的重大入侵事件非常少。另一方面,OWASP前10大漏洞中也有不少由web安全问题造成的重大漏洞,如SQL注入攻击、跨站脚本攻击(XSS)、CSRF、web服务器和容器错误配置等。
消除问题的根源。
如果您觉得web应用程序防火墙足以保护您的资产,那么您应该认识到WAF规则通常可以使用恶意代码和精心设计的用户输入来规避。在没有其他措施的情况下使用WAF,你并没有消除问题的根源,而只是使用临时的创可贴。