在线扫描检测SQL注入漏洞

Question

我让我的老板用在线服务在我们的服务器上做漏洞扫描，试图解释我们实际上并没有受到报告所说的漏洞的影响，这令人沮丧。

我是在自欺欺人，还是说这些服务“假设”是因为你允许在你的网站上发布它是脆弱的呢？我已经测试了大量的注入攻击，我们的服务器返回永远不允许它们执行，因为代码停止了它们。

让我的服务器对这些扫描免疫的最好方法是什么？我得到了一些东西，比如阻止apache/ PHP /openSSL报告它的版本，特别是因为我使用来自Debian安全团队的安全补丁版本，它不一定与PHP的补丁版本相匹配。

Answer 1

这些报告的问题在于，它们只是假设如果允许在站点上输入用户数据，那么您就容易受到SQL注入攻击。如果不实际查看SQL或执行注入攻击，他们就无法判断，因此他们只是将其标记为潜在的问题。

要向你的老板证明你是安全的，唯一真正的方法就是让一位安全专家来检查你的网站，或者让你的老板了解注入攻击是什么，并让他知道它在你的网站上不起作用。