我正在使用 autohotkey: sparrow 中的一个简单的网络服务器。它对路径遍历攻击免疫。只要我不从客户端运行任何未经清理的代码,是否还有其他需要注意的基本攻击,例如路径遍历攻击?
问问题
148 次
1 回答
1
你的问题有点尴尬。不清理用户输入是导致目录遍历等漏洞的原因。关键是您的服务器正在接受用户可能产生的最畸形的受污染数据,并且应用程序有望使其安全。
有一种称为 Web 应用程序防火墙的东西,它可以在许多不同类型的攻击到达 Web 应用程序之前阻止它们。比 Sparrow 更安全的设置是带有Mod_Security的 Apache 。Mod_secuirty 可防止针对 Web 应用程序的数百种不同类型的攻击,包括 Directory Traversal 和大多数 OWASP Top 10。OWASP top 10 是一个很好的资源,我强烈推荐它。
于 2010-01-17T20:25:43.740 回答