Nous essayons de décider quel serveur Web choisir pour notre application PHP.
Lequel d'Apache, nginx ou lighttpd est le plus sécurisé? Lequel d'entre eux a eu les failles de sécurité les plus et les plus sévères?
Le système d'exploitation et le serveur Web avec lesquels vous avez le plus d'expérience sont généralement vont être les plus sécurisés.
La sécurité dépend de toutes les couches, pas seulement du serveur Web. Si vous en choisissez une avec très peu de vulnérabilités, mais ne comprenez pas comment la configurer, vous ne comprendrez probablement pas comment la configurer en toute sécurité.
Ce sont tous des serveurs Web matures, donc celui que vous comprenez le mieux est celui que vous allez pouvoir sécuriser le plus.
Pour moi, la réponse à cette question est "ça dépend".
Tout d'abord, je suppose que cela dépend de ce que vous entendez par sécurisé. Si vous recherchez l'absence de défauts logiciels, vous pouvez consulter les statistiques de vulnérabilité des produits en question à partir de sites tels que http://www.secunia.com ou http: // www.cvedetails.com .
de ceux-ci, vous pouvez avoir une idée du nombre de problèmes de sécurité qui ont été publiquement reconnus et corrigés, ce qui pourrait vous amener à dire qu'un produit est plus ou moins sécurisé.
Malheureusement, tous les produits ne reçoivent pas le même niveau de contrôle, ce qui n'est peut-être pas une bonne mesure.
L'autre chose à considérer est les capacités de sécurité. S'il existe des capacités de sécurité spécifiques dont vous avez besoin (par exemple, l'intégration WAF), cela peut motiver votre choix de serveur Web.
En ce qui concerne votre question spécifique, je dirais qu'Apache a récemment eu un assez bon dossier de sécurité (la plupart des vulns que j'ai vus dans les versions plus à jour ont tendance à être dans des modules et non sur le serveur principal).
En ce qui concerne les autres, vous pourriez faire valoir qu'ils sont sécurisés s'il n'y a pas de vulnérabilités publiées pour eux, mais alors ils peuvent toujours avoir des problèmes qui ne sont pas publiquement reconnus.
Malgré la folie récente des en-têtes de gamme, je pense que vous pouvez faire un bon cas pour Apache, si vous le réduisez à ce dont vous avez besoin. mod_security est également un plus pour Apache.
Vous devez également décider non seulement sur la base de vos antécédents, mais également sur la façon dont vous pensez qu'ils vont aller de l'avant. Cela dépend en grande partie de la maturité du processus, de l'état de la base de code, etc.
Apache a beaucoup de globes oculaires dessus, ce qui signifie qu'il y aura plus de bugs signalés, mais rappelez-vous que ce n'est pas parce que les bugs ne sont pas signalés contre un produit qu'ils ne sont pas là, donc si vous êtes ciblé dans une attaque, mon avis est que vous voulez le moins d'inconnues possible, et Apache gagne probablement sur ce plan.
pour moi, cela n'a pas d'importance sur Apache ou nginx ou lighttpd, il importe de rester avec les mises à jour, d'installer uniquement les plugins et modules mis à jour qui sont modérés et mis à jour hebdomadairement/mensuellement, et le plus important est de NE JAMAIS faire d'erreur sur les applications Web ( python, Perl, php, mysql, rtmp ....) si votre Apache et ses modules sont corrigés/mis à jour, et que vous avez un débordement de tampon sqli ou php, il est donc inutile, et à propos du système d'exploitation, vous pouvez créer un serveur Windows sécurisé et vous peut faire un serveur Unix vulnrable
source: Je suis hacker blanc Elite
http://www.zone-h.org/archive/notifier=k3rnel31
http://www.zone-h.org/archive/notifier=k3rnel31_2