Buscando implementar algunos conjuntos de reglas mod_sec adicionales en nuestro servidor. OWASP y Atomic siguen siendo los mejores de los mejores. ¿Sería sabio implementar ambos? O, ¿una u otra sería suficiente para el cumplimiento de PCI?
Buscando implementar algunos conjuntos de reglas mod_sec adicionales en nuestro servidor. OWASP y Atomic siguen siendo los mejores de los mejores. ¿Sería sabio implementar ambos? O, ¿una u otra sería suficiente para el cumplimiento de PCI?
No implementes ambos. Es inútil Usar los dos conjuntos de reglas es un desperdicio de CPU y memoria, porque ambos se superponen.
El cumplimiento de PCI requiere un WAF en algunos casos, pero no especifica exactamente la funcionalidad. Casi todos los auditores buscarán si WAF lo está protegiendo de SQLi, XSS, etc. que, en este caso, cualquiera de los conjuntos de reglas hará este trabajo.
Lea otras preguntas en las etiquetas linux owasp mod-security