最近,我哥哥建议我使用mod_security。我做了一个研究它究竟是什么以及它做了什么,但是我觉得我是否应该使用它是非常不安的。以下是我的想法,让我不要使用它。
现在真正的问题是:
如果mod_security无法过滤所有内容,您仍需要制作 确保您的Web应用程序是安全的,为什么不正确编写 安全的Web应用程序,无需运行任何Web应用 防火墙?
由于它是我们的网络应用程序,因此我们比任何第三方软件都更了解用户的预期输入。使用第三方软件来检测攻击然后在我们的Web应用程序中编写输入验证就像是一次仔细检查(虽然很好,但性能成本也会增加一倍)。
答案 0 :(得分:1)
在您描述的场景中,您有一个由关心安全性的开发人员编写的自定义应用程序,我同意WAF作为入侵防御系统提供了nugatory值。
WAF在自动提供未知网络应用程序方面有效的想法是最糟糕的行业营销旋转。如果没有精心配置以适应应用,它们提供极差的性能(*);除非你有一个单独的安全团队有资源去做,所以将资源用于安全开发通常确实更好。
(*:由于保护提供与时间和由于误报而导致的自定义丢失; mod_security的核心规则是IMO特别麻烦。)
另一方面,WAF很有用:作为临时解决方法,允许您保护具有特定已知漏洞的旧版和第三方应用程序,直到可以修复或替换它们为止;
配置为入侵检测系统,提升警报而不是阻止,您可以在其中使用操作资源进行跟进并可能阻止攻击源。