台灯堆叠层-为什么？

Question

有哪些漏洞可以通过层叠的台灯堆栈来减轻呢？据我所知，任何漏洞都将允许访问数据库，即使数据库是分层的。有什么好处？

我们最好把注意力集中在WAFs上吗？

Answer 1

如果您的get服务器和数据库位于同一台服务器上，并且有人获得根目录，那么他们也会得到您的整个数据库。如果它们位于不同的服务器上，它们(理想情况下)只能访问web应用程序可以访问的任何东西。(此外，当扩展容量时，拆分可能是有用的。)

Answer 2

同一台机器上的权限提升很容易。在单独的闭锁机器上就更难了。如果前面有一个表示层(即apache)，但是它有一个只有有限特权的sql帐户，并且sql服务器没有暴露于它的服务(即不可访问的ssh)，这可能会使它很难做同样多的损害。

例如，如果攻击者获得see服务器机器上的根信息，他们可以重置sql服务器根密码等，那么访问磁盘上的表-- webserver帐户可能看不到etc；如果没有本地访问数据库机器，他们就不能这么容易地做到这一点。

在我看来，WAF并没有那么好--当您制定规则来阻止问题时，它们充其量是阻止spacific模式的合理方法，但您不能期望它们为您保护事物；它们只与它们的规则一样好，而且在代码中进行适当的输入卫生通常比在WAF中生成大量特定(慢)规则的额外开销更容易/更快……这也需要做大量的工作。这种情况的例外是，当您有未维护的代码WAF时，可能是完成任务的唯一方法，但是，同样，不要低估了如何在不影响业务的情况下使fules和验证它们正确工作是多么困难。

没有规则，WAF就什么都保护不了。实际上，没有人有很好的规则。修复代码的成本通常低于制定与代码完全匹配的规则的成本，但是在您有一个特定问题时实现战术修复WAF规则的成本可能比修复代码更容易。(这里的成本可能意味着任何金钱/时间/复杂性)。