為你的網站擋下各式各樣的入侵方式

來這裡，不只可以了解 SQL injection 和XSS 跨站攻擊等駭客手法如何攻擊你的網站，還可以了解WAF如何抵禦這些入侵攻擊。最重要的是，明白WAF保障電子商務的安全性，捍衛企業多少無形資產

IIS伺服器安全

一直以來，微軟產品給人的印象就是不如同業的那樣安全。尤其是微軟IIS伺服器，微軟把許多IIS功能預設為開啟的狀態，導致衍生不少安全性的問題。

不用複雜繁瑣的設置步驟，IIS伺服器很快就能設定完成，讓網站上線運行。因此，不少使用IIS的網站管理員安裝完畢後，懶得多設定幾個步驟確保他的網站程式安全。駭客就是看準這一點，入侵伺服器及網站。

越來越多的駭客針對網站程式進行攻擊，所以微軟很努力的提升所有產品的安全性，當然包含IIS伺服器在內。第6版IIS伺服器中，微軟將許多功能的預設狀態改成關閉。第7版中，微軟盡可能減少安裝步驟，減少預設安裝的元件數量，降低駭客嘗試攻擊的可能性。

IIS相關的潛在風險

雖然微軟大幅改善IIS7的安全性，但是把IIS7當作網站伺服器仍有許多需注意的風險。記住！微軟是以讓網站管理員便於操作為導向，而非網站安全性。現在可以透過瀏覽器操作IIS伺服器，因此導致風險性大增

• 安裝軟體太容易

  利用Windows系統，可以簡單地完成安裝WordPress、Joomla或ZenCart這一類程式，但同時也帶來風險。網站管理員對於程式的風險漏洞沒有一絲警覺性時，一不小心，可能把危險軟體裝到伺服器上。當然，還是可以透過下指令的方式或GNU / Linux shell安裝應用程式。但管理員能善用這些工具時，他們對於基本安全風險會更有警覺。

• 惡意軟體帶來的傷害

  許多網站管理員仍對紅色代碼病毒(Code Red)以及Nimda蠕蟲對於IIS伺服器造成的傷害記憶猶新。當時駭客透過DDoS攻擊及路徑探索(path traversal)等方式，任意竄改網站或攻擊網站。

• 由於微軟樹大招風，永遠是惡意軟體攻擊的目標之一。即使微軟的工程師盡心盡力修補已知漏洞，但數以千計的惡意軟體仍在外散布，對微軟伺服器造成極大的威脅。

保護IIS伺服器

如同其他伺服器一樣，必須採取某些步驟強化IIS伺服器的安全性。雖然防禦惡意軟體、入侵檢測/防禦系統、網路防火牆，和其他工具和技術可以防禦部分的攻擊，卻無法充分抵抗由已安裝的第三方軟體所發動的攻擊。

WAF可以抵禦IIS伺服器以下漏洞

路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes)DDoS攻擊 / 伺服器入侵

透過執行SaaS(Security-as-a-Service)解決方案，無論網站管理員功力厲害與否，WAF能為網站伺服器提供保護，為網站程式避免掉許多威脅。透過檢測分析網站流量內容，確認是否符合或違反通訊協議、port或IP，避免網站程式被攻擊。WAF能提供優化後的防禦服務，防禦DDoS攻擊、XSS跨站攻擊、SQL Injection、path traversal以及其他網站攻擊技術。

為何IIS伺服器需要WAF？

抵禦過去已知和最近新興的駭客攻擊手法
提供最佳化即時防禦的預設安全規範
提供管理界面及API，輕鬆管理多台服務器
不需另外增購硬體設備，且能彈性擴充

避免攻擊的必要性

每年因為網路犯罪造成的損失高達數億美元。比起損失的金錢和遭竊的資料，企業應該更在乎名譽受損帶來的傷害。當網站出現漏洞時，用戶或者訪客就會開始質疑網站的安全性。而且如果搜尋引擎在網站上發現惡意軟體或垃圾信件時，就會把網站標示為惡意網站，將網站從搜尋結果中刪除，導致網站合法流量大幅下降。

雲端安全

現在已經有越來越多的企業開始了解雲端運算所帶來的企業優勢：

• 有效降低企業的IT總體成本
• IT管理方面更具彈性
• 降低IT硬體及資料的管理成本
• 透過自動更新，降低程式管理成本
• 提供更大的雲端資料儲存空間

雲端的潛在風險

雖然雲端運算對企業來說非常具有優勢，但也不少專家指出，雲端仍需要考慮安全性的問題。雲端運算的潛在風險：

• 資料交給別人管理的事實及風險

  選擇將企業資料移到雲端上，表示你需要非常信任你的主機商。基本上，他們算是監控你所有的網路資料。如果主機商無法為客戶提供充足的資訊安全防護的話，駭客攻擊便會蜂擁而至。SQL Injection攻擊、盜用伺服器、session hijacking(會話劫持)等攻擊手法都將導致你的企業資料暴露在他人的監控之下。

• 交由他人幫你管理程式的風險

  許多企業已經把網站程式視為不可或缺的一部分。將網站搬到雲端上，必須更加嚴格監控管理這些程式。雲端雖然便利，安全卻更加重要。當主機服務商進行必要的軟體更新時，並不會幫你們家檢視程式碼的潛藏漏洞，確保企業資料是否安全，或者程式能否抵禦XSS跨站攻擊之類的入侵。

• 保護網站的概念已經改變

  雲端的本質就是資源共享的概念。雲端安全的概念跟傳統的資訊安全大不相同。例如使用Amazon的網站服務時，你會發現無法檢查LOG或是使用流量監測和入侵監控系統等部屬工具。甚至部分主機商的服務條款禁止進行網站漏洞掃描，更別說進行原始碼檢測了。如果你的網站必須合乎PCI標準規範的話，還是乖乖裝WAF吧

保護雲端安全

雖然藉由雲端運算跑資料執行程式有一定程度的安全疑慮，然而Google、IBM、Amazon及IT大廠強力推動健康照護以及電子商務等雲端服務，意味著這些安全疑慮是未來雲端發展不得不克服的問題。

部屬WAF便是保護網站程式及資料的一種方式，雲端服務商不需額外增添硬體設備，可以安裝在網站程式前面提供保護。

WAF可以抵禦雲端以下漏洞

當部屬完成，WAF即可為網站程式抵禦以下已知的威脅：
路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 / 探針(Probes) / DDoS攻擊 / 伺服器入侵
WAF也能深入執行傳統的安全檢測，例如深度檢測網站服務的流量分析，而這種威脅卻是入侵檢測系統和入侵預防系統常常疏忽掉的。

避免駭客攻擊的必要性

不少企業縮減IT部門規模，雲端計算這類能有效縮減成本的服務，越來越受企業歡迎。雖然主機商提供雲端管理服務，企業仍必須合乎安全規範。為了符合PCI DSS標準規範、HIPAA、SOX及其他標準安全規範，資訊的安全性便是企業決定是否移到雲端的考慮點之一

XSS跨站攻擊

XSS(Cross-site scripting) 跨站攻擊是利用網站的漏洞，讓使用者在瀏覽網頁時，不知情的情況下執行了駭客植入的惡意程式。XSS跨站攻擊，不需要太高深的技術就能做到，所以名列駭客攻擊的常見手法之一，也是網站常見的漏洞之一。

比較常見XSS攻擊的例子，如討論區、留言版或任何能輸入資料的地方，允許使用者輸入HTML、JavaScript，並且正常解析執行。當其他使用者瀏覽這篇留言時，便會執行惡意程式。

而且XSS跨站攻擊，是在資料加密前開始執行的。所以裝SSL，對於XSS跨站攻擊是沒有防禦作用的。任何的網站伺服器或應用程式伺服器，都容易受到XSS跨站攻擊

XSS跨站攻擊的潛在風險

正如上面所說的，XSS跨站攻擊容易得手。如果網站沒有任何防禦措施的話，就容易遭受以下攻擊：

• 結合其他入侵手法，竊取網站用戶的帳號和密碼

• 跟蹤特定使用者，追蹤其瀏覽行為，侵犯個人隱私

• 濫用伺服器以及頻寬等網路資源

• 透過瀏覽器，使你的電腦變成駭客控制的殭屍電腦之一

• 竊取網站資料或者是網站內容

• 任意修改或者破壞你的網站內容

避免XSS跨站攻擊

WAF監測網站流量，並確認網路是否暴露在XSS跨站攻擊或其他風險當中。WAF安裝完成後，即可立即生效。並針對XSS跨站攻擊、SQL Injection、path traversal及其他網站攻擊方式，提供優化防禦。

為何需要WAF來抵禦XSS跨站攻擊？

• 簡單就能安裝在Apache和IIS伺服器上

• 針對已知或新興的駭客手法進行防禦

• 針對即時防禦，預設最佳化的安全規範

• 提供介面及API，便於管理多台伺服器

• 無需額外的硬體設備，隨業務規模彈性擴充

駭客XSS跨站攻擊流程

攻陷網站前，駭客必須找到能利用XSS跨站攻擊的程式漏洞。不幸的是，多數的網站程式是利用免費開源軟體或商業軟體改寫而成，容易受到攻擊。駭客只需要透過Google搜尋，幾分鐘內即可找到數以千計使用這些軟體的網站。一旦發現網站，駭客就立即展開入侵。

編寫惡意程式

一旦決定攻擊目標，駭客會開始編寫惡意程式。常見的手法有三種：

• 儲存型XSS

  當惡意程式被放入目標伺服器後，例如公布欄、訪客記錄、或留言板，訪客就會在無意間執行了惡意程式

• 反射型XSS

  訪客被誘導點擊惡意連結或是填寫某個網站表格，程式被導向已經受感染的網站伺服器，並反過頭來發送請求給訪客的瀏覽器。而瀏覽器會認為這些請求是來自受信任的伺服器，執行這些惡意程式

• 以DOM為基礎XSS

  這種攻擊script是基於處立並查詢同一頁面的DOM(document object model)。透過遠端執行這類型的攻擊，駭客能在受害者的電腦上執行惡意程式

坐收豐碩成果

當惡意程式被放在有漏洞的網站上之後，駭客就等著收割成果了。

如果駭客目的是竊取用戶的身分驗證，帳號密碼就會輕易到手。如果目標是輸入紀錄的話，駭客就會從受害者拿到輸入紀錄。如果目的是在網站中植入惡意連結，就會看到更大的流量以及更多的搜尋流量導到這個網站來。一旦得逞，駭客便會在其他網站上如法炮製。

避免XSS跨站攻擊的必要性

XSS跨站攻擊不僅造成企業資料被竊，也使企業的聲譽受損。

受到攻擊的企業，都是想要打造一個受人信任的網站，努力的向使用者傳遞內容、服務及產品。卻發現因為一次的駭客攻擊，失去忠實客戶對他們的信任。當一個無辜的使用者發現個資外洩或者電腦受到感染，即使你再三保證網站的安全性，他們都會對於再次造訪你的網站猶豫半天。

即使你事後修復了網站漏洞，但卻已經被Google和其他搜尋引擎列為危險網站了。把時間和精力浪費在恢復搜尋結果上的名聲，額外支出的成本是絕多數網站擁有者所沒有計算到的。

不是只有XSS跨站攻擊會造成威脅，結合其他手法像是SQL injections、path traversal、DDoS攻擊及緩衝區溢出等，都需要網站擁有者或網站管理員提高警覺防範。

電子商務安全

網路交易越來越興盛，透過Zen Cart、Open Cart、Magento等開放原始碼程式，架設一個購物網站快速又簡單。越來越多的企業透過架設網站銷售他們的產品及服務。

利用上述程式，或是請人幫你寫購物車程式，不需要太專業或高深的知識，就可以在網路開店做生意，輕易取得客戶的信用卡資料。由於電子商務的利益龐大驚人，購物網站自然成了駭客眼中的肥羊，覬覦裡面的信用卡及客戶資料。基於以上理由，購物網站必須要考慮到網站程式的安全性。

電子商務的潛在風險

經過多年以來，電子商務的安全性已經獲得大幅度的改善。讓客戶更加信任網路，願意在網路上花錢消費。每年成長的網路購物金額證明了消費者認為網路購物是安全的。但對企業來說，駭客要入侵他們的網站程式也更加方便了。

信用卡盜用及欺詐

駭客利用僵屍電腦對無辜的網站發動攻擊，藉此竊取信用卡資料。信用卡資料安全性對於電子商務來說格外的重要。著名的TJX事件，便是公司沒有採取安全措施的最佳例子，導致9400萬個帳戶遭到入侵，TJX公司被300家以上的銀行聯合訴訟，賠償金額超過70億美金。駭客落網後，發現他透過SQL Injection技術，在各個網站竊取了超過130萬張信用卡資料。

WAF可以抵禦電子商務以下漏洞

常見竊取金融資料的駭客手法:
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking(會話劫持) / 惡意軟體(Drive-by downloads)

避免電子商務風險的必要性

• 網路服務中斷

  也許是對手惡意攻擊你的企業，或是一名駭客正在拿你的網站小試牛刀。更有可能是，有某人已入侵你的網站伺服器，佔用了硬碟空間、CPU、頻寬等主機資源。不論理由為何，服務中斷會傷害到企業，因為客戶無法瀏覽網站。這不僅是收入上的損失而已，下次客戶在你的網站上購物時會三思而後行。

• 品牌名聲受損

  當網站信用卡資料遭竊，通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞，便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行，更有可能因此轉而向其他對手購買。

  不只這樣，不少網路使用者會利用一些外掛程式辨別惡意網站。當你的網站被認為是散播惡意軟體或垃圾信件的話，你會發現網站流量明顯的大幅下降。

• 從搜尋引擎上消失

  當網站信用卡資料遭竊，通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞，便會逃之夭夭。即使最忠實的顧客在購物前也會三思而後行，更有可能因此轉而向其他對手購買。

  為了出現在搜尋結果前幾頁，不少企業花了大把金錢請SEO專家想排名排得更高更前面。可是只需要簡單的XSS跨站攻擊，辛辛苦苦得到的排名可能一瞬間暴跌。某些搜尋引擎更會將惡意網站完全從搜尋結果中給刪除掉。

  即使企業重新修補網站，重新將網站提交給搜尋引擎，但過程一定是耗時又費力。不但害到網站流量，更害到網站收入。

  2004年，為打擊信用卡欺詐和盜竊，組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障，確保有提供刷卡服務的店家在處理持卡人資料時，有合乎最基本的安全規範。

• PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範：

  1. 建立並維護一個安全的網路系統
  2. 保護持卡人資料
  3. 需有漏洞管理的程序
  4. 實施有效的連結控管措施
  5. 定期監測並測試網路系統
  6. 需有資訊安全政策
  

  未能遵守PCI標準規範的公司，無法提供信用卡付款的服務，並可能受到懲罰和罰款。

防禦攻擊的必要性

找到最合適的解決方案來保護客戶信用卡資料，絕對是最的重要。為確保每家公司都合乎規範，因此制定了PCI標準規範。信用卡資料外洩一定會引起PCI委員會的關注，並追查誰讓此網站通過檢查。除了導致收入損失之外，更會收到PCI委員會的懲處。

駭客攻擊

網路不只是娛樂而已，更成為日常生活的一部分。我們利用網路來溝通、收集資料、研究、銷售產品以及處理其他業務。

駭客攻擊的潛在風險

在網路上傳輸的敏感財務資料何其的多，自然成為網路犯罪的天堂。此外，不安全的網站越來越多，導致駭客攻擊越來越猖獗。駭入電腦系統早已不是新聞。隨著網站程式的興起，不需要高深的專業知識，你也能夠當個駭客。

惡劣的駭客利用工具進行自動化攻擊。先利用工具尋找下手的目標，同時掃描多台電腦、路由器、伺服器及網站，尋找特定的漏洞。加上利用僵屍電腦，駭客可輕易提升攻擊規模。

WAF可以抵禦駭客攻擊以下漏洞

一旦決定攻擊目標，便可利用以下方式展開攻擊:

XSS跨站攻擊 / SQL Injection / 遠端命令執行 DDoS攻擊 / Path Traversal / 其他

一旦找到漏洞，駭客便直接展開攻擊。更可以利用僵屍電腦擴大攻擊範圍，達到最大效果。

駭客攻擊帶來的影響

駭客肯定是會對受害網站造成影響。還會依據駭客使用的手法及攻擊的目標的不同，而達到不同的效果。更慘的是，絕大多數受駭的網站不只遭受單一種攻擊。

• 透過惡意軟體竊取電腦中的管理員權限或FTP憑證。一旦擁有權限或憑證，可隨意存取網站、網站伺服器甚至公司網路的其他資源。

• 伺服器操作系統上的漏洞，讓駭客可以存取網站的檔案。發送垃圾郵件或惡意檔案給無辜的訪客。如此一來，網站便會被搜尋引擎列為惡意網站，之後被搜尋引擎從搜尋結果中刪掉。

• 有網站程式的動態網站，更是提供駭客多種管道攻擊網站，甚至進到網站資料庫中。資料庫中包含財務資料或個人資料，可用於信用卡詐欺或是盜用他人身分。

• DDoS攻擊則會導致網路服務中斷，如果有任何透過網路執行的重要業務，最好即刻中斷。

對抗駭客攻擊的必要性

當網站或網路遭到攻擊時，用戶只會抱怨公司或企業，並不會責罵駭客。確保服務或者程式能夠抵禦駭客攻擊，便是企業的責任。

為了保護客戶和員工的財務或個人資料不被竊取，業界和政府針對常見的駭客攻擊手法進行規範。為打擊信用卡詐欺，業界建立一套PCI標準規範，要求店家採取具體措施保障客戶資料安全。

駭客攻擊不只竊取資料，也會造成公司損失客戶和收入。當一家公司因為駭客入侵而上了新聞，肯定失去忠實客戶的信賴。流量掉了還不打緊，一旦被搜尋引擎列為惡意網站，你為SEO優化所做的努力都白費了。

信用卡安全

雖然近年各界都嘗試建立不同的電子支付方式，信用卡依舊是網路購物付款的主要選擇。如此龐大的信用卡金流在網路中流通，世界各地的網路罪犯早已覬覦垂涎許久。信用卡付款，是任何網路商店不可或缺的一部分，同時也是最關心的議題。

信用卡的潛在風險

防堵信用卡詐欺方面，雖然已經小有成效，但對於信用卡安全，大家都不應該掉以輕心。為了提供信用卡支付，店家會安裝程式，處理信用卡資料。

以下程式也潛藏著許多漏洞：

SQL Injection / XSS跨站攻擊 / Path Traversal / Session Hijacking(會話劫持) / 惡意軟體(連程式一起被偷渡下載)

早期，駭客還必須有一定的水準，才能成功駭進網站。現在透過網路機器人，駭客簡單幾個步驟即可對網路商店發動大規模的攻擊。

保護信用卡交易安全

信用卡最令人擔心的就是：交易糾紛。當有疑似詐欺情況發生時，總是買賣雙承擔風險及損失，而非信用卡公司本身。除了損失收入之外，這些有詐欺交易紀錄的公司還會被登記在信用卡公司網站上。當累積次數太多，信用卡公司將終止其交易行為。

PCI標準規範

2004年，為打擊信用卡欺詐和盜竊，組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障，確保有提供刷卡服務的店家在處理持卡人資料時，有合乎最基本的安全規範。

PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範：

1. 建立並維護一個安全的網路系統
2. 保護持卡人資料
3. 需有漏洞管理的程序
4. 實施有效的連結控管措施
5. 定期監測並測試網路系統
6. 需有資訊安全政策

未能遵守PCI標準規範的公司，無法提供信用卡付款的服務，並可能受到懲罰和罰款。

企業有形以及無形的損失

如果網站的信用卡資料常常遭竊的話，除了營業損失之外，還得時常面對法律訴訟以及其他罰款。消費者一旦認定說，在這個網站消費不安全，不願在此消費時，會明顯影響公司的收入。品牌聲譽受損，比任何罰款都來得嚴重。

透過WAF，我們可以即時檢測網站的流量內容，尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。一旦WAF設置完成，便可抵禦以下攻擊： 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 / XSS跨站攻擊 / SQL Injections

避免信用卡風險的必要性

找到最合適的解決方案來保護客戶信用卡資料，絕對是排第一的重要。當然也必須公司能夠負擔得起。沒有人可以精準預估，要花在原始碼檢測的成本和資源有多少。之後，還必須有專門的人力和成本來修補發現的安全漏洞。

Apache伺服器安全工具

如果認為Apache伺服器比微軟IIS伺服器安全許多的話，那可真是大錯特錯。跟其他軟體一樣，Apache也是充滿漏洞容易受到攻擊。Apache伺服器或由Apache驅動的網站，都面臨不同程度的威脅。網路犯罪早就不玩竄改或綁架網頁那一套了，他們渴望獲得金錢或資料等實質利益。無論使用那一套伺服器軟體，網站管理員都必須更加警覺才能保護網站程式

設置Apache伺服器的潛在風險

跟其他網站伺服器一樣，沒有正確設置Apache的話，等於敞開大門歡迎駭客光臨。預設安裝變得更加容易，但也因為裝了許多不需要的服務，而導致伺服器的安全性降低。執行越多的程式服務等於暴露在越高的風險當中。管理員如果沒有警覺性的話，將無法阻擋駭客入侵。

零時差(Zero-Day)漏洞

即使軟體已更新至最新版本，監控更加嚴密，並正確設置伺服器，還是可能被零時差(Zero-Day)攻擊。一旦遭受零時差(Zero-Day)攻擊，可能需要花上一天才能找到修補方式，這段時間內，網站將遭受到難以數計的攻擊。沒有別的方式，網站管理員必須監控並找出非法惡意網路流量，才能阻擋

WAF可以抵禦Apache伺服器以下漏洞

Apache伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話，還是很容易壟罩在駭客攻擊的陰影中。 常見針對網站程式的攻擊手法有:
XSS跨站攻擊 / 路徑探索(Path Traversal) / SQL Injection
會話劫持(Session Hijacking) / Link Injection / 惡意軟體 / DDoS攻擊

正確設置Apache的必要性

跟其他伺服器一樣，必須採取特定步驟才能強化操作系統的安全以抵禦攻擊。防禦惡意軟體、入侵偵測/防禦系統、網路防火牆，或其他工具和技術可以防止某些攻擊，但卻無法處理由已安裝的第三方程式發起的攻擊。Apache開發者意識到需要WAF來保護程式。

PCI標準規範

網站程式已成為網站犯罪竊取信用卡資料的溫床。為打擊氾濫的網路詐欺，因此組成PCI委員會，確保有提供刷卡服務的店家在處理持卡人資料時，都必須合乎PCI標準規範。不分大企業或小公司，即使店家一年只有一筆刷卡紀錄，也必須確實維護持卡人資料安全，避免曝露給未經授權的使用者知道。

PCI標準網站程式規範

許多網站都有網站程式，駭客特別熱中攻擊網站程式，PCI標準規範特別指出該如何保護網站程式的安全。當中提到，處理信用卡資料的網站管理者，必須透過以下兩種方式其中一種，達到PCI標準規範的要求：

• 原始碼檢測

  企業通常擁有不只一種網站程式，並時常新增。所以我們難以評估說，進行所有程式的原始碼檢測需要耗費多少人力及成本。IT部門不僅要準備檢測用的原始碼，提供檢測單位支援。檢測報告出爐後，還要安排時程修補及測試程式，確認程式可以正常執行。

  並且規定必須透過以下四種方式來完成：

  1. 人工程式原始碼檢測
  2. 使用自動程式原始碼檢測(掃描)工具
  3. 人工網站程式安全性漏洞評估
  4. 使用自動網站程式安全性漏洞檢測(掃描)工具
  

  「尋找漏洞、修補漏洞、測試程式」這種測試周期不可能一次找出程式中所有的漏洞，因此導致這周期必須周而復始的不斷重複。你還必須確認程式的修補與測試不會影響到網站的正常營運。

  最重要的是，原始碼檢測只能檢測當下已知的漏洞，無法抵禦未知的漏洞。因此選擇為網站安裝WAF顯得更具吸引力。

• 為網站安裝WAF

  委員會(PCISSC)規定可以安裝WAF來取代定期的原始碼檢測。不論是硬體版或是軟體版的WAF，都是架在客戶端以及網站程式之間。不同於傳統防火牆和入侵防禦系統，WAF能明白應用程式層的邏輯，這對保護持卡人資料來說是必要的。

為合乎規範安裝WAF的必要性

WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範，也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊，提供即時性的防禦。WAF強調預防入侵，而非偵測漏洞。針對網站流量進行深入的封包檢測，在網站程式前架設一道安全防禦。

優點如下：

• 合乎PCI標準規範

• 不需付出額外的研發成本

• 適用於由第三方開發的程式或元件

WAF可以做到原始碼檢測所做不到：

一旦WAF設置完成，便可抵禦以下攻擊： 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 XSS跨站攻擊 / SQL Injections