Cerchiamo di implementare alcune regole aggiuntive mod_sec sul nostro server. OWASP e Atomic continuano a venire come il meglio del meglio. Sarebbe saggio implementare entrambi? O l'uno o l'altro sarebbe sufficiente per la conformità PCI?
Cerchiamo di implementare alcune regole aggiuntive mod_sec sul nostro server. OWASP e Atomic continuano a venire come il meglio del meglio. Sarebbe saggio implementare entrambi? O l'uno o l'altro sarebbe sufficiente per la conformità PCI?
Non implementare entrambi. È inutile L'uso di entrambi i set di regole è uno spreco di CPU e memoria, perché entrambi si sovrappongono.
La conformità PCI richiede un WAF in alcuni casi, ma non specifica esattamente la funzionalità. Quasi tutti gli auditor cercheranno di vedere se il WAF ti sta proteggendo da SQLi, XSS ecc. Che, in questo caso, qualsiasi serie di regole farà questo lavoro.
Leggi altre domande sui tag linux owasp mod-security