Vedo i punti di entrambi schroeder e symbbean. Questo è quello che ho discusso con i clienti negli ultimi 15 anni circa.
Solo perché lo scanner delle vulnerabilità dice che qualcosa è vulnerabile, non significa necessariamente che lo sia. Lasciami spiegare.
Nel tuo esempio, gli avvisi su mod_lua sono molto probabilmente basati sulla versione di Apache installata e non sul rilevamento effettivo di mod_lua caricato in memoria. Al meglio, sa che il modulo è installato e caricato in memoria. Tuttavia, la tua applicazione web effettivamente la usa?
Un grosso problema è che la maggior parte degli scanner di vulnerabilità sul mercato fornisce poche informazioni sul metodo di rilevamento, per non parlare dell'effettiva evidenza.
Anche se questo spiega perché hai dei potenziali falsi positivi, non risolve il tuo problema. Onestamente, se questi sono i server della tua azienda, spingere per eseguire una scansione delle vulnerabilità con credenziali. Avrai dati molto più precisi su cui lavorare.
Quindi, cosa succede se esegui una scansione credenziale e vedi ancora la vulnerabilità mod_lua?
Una parte del programma di gestione delle vulnerabilità deve includere l'utilizzo della metodologia di valutazione del rischio per valutare se è necessario attenuare (correggere) o accettare il rischio di tale vulnerabilità.
Che cosa succede se non si dispone di una metodologia di valutazione del rischio?
Lo fai ... lo fanno tutti. Potrebbe non essere documentato e l'intera azienda potrebbe non condividere la propria metodologia, ma intrinsecamente, si prendono decisioni basate sul rischio ogni giorno. Se la tua azienda non ha un programma di valutazione / gestione del rischio formale, suggerirei ai superiori che è un risparmio di tempo e denaro. Se strutturato bene, impone ciò che viene affrontato e in quale ordine.
Torna a mod_lua. Se mod_lua è sul server, aggiorna. Meglio ancora, se il sito web non usa il linguaggio di scripting Lua, rimuovi il modulo dalla configurazione di Apache e mod_lua.so dal server.