A baj szerintem kevéssé a webszerverekkel van. Inkább ott leledzik, hogy bármely belső végpont nyithat kifelé egy kapcsolatot, amin keresztül befelé is mehet bármi.
Tehát, ha bejuttatok egy kódot, ami simán, userként kifelé nyit, akkor már bent vagyok, a tűzfal helyeslő támogatása mellett...
Ráadásul a "helyi érdekű" webszerver egyre többször van egy nyilvános szolgáltatónál, amit az éppen a vállalati hálózattól távol lévő kliensek (okostelefonok, laptopok) közvetlenül érnek el. Eközben a peremvédelmi tűzfal önelégülten pihen.
Üdv,
Marci