免費版 WAF ModSecurity 增加網站安全性

在大部分成功被駭客入侵的網站案例中，大多都屬於網頁程式設計師的疏忽，或本身缺乏安全的意識而開發的軟體，很容易造成網頁主機被入侵成功的危機，如果不確定自己有沒有被入侵，可以參考我之前寫的5個自我檢視資料庫之安全性的方法，先自行檢測看看。

一般為了預防像是 XSS、SQL Injection 此類的安全性漏洞，大多會購買WAF（Web Application Firewall，網頁應用程式防火牆）來阻絕駭客，但類似的產品，價格往往相當的昂貴，絕非一般中小企業所能負擔。 相關 WAF 資訊可以參考：

網頁應用防火牆(Web Application Firewal, WAF)

或許有人會說為什麼要砸大錢買WAF？WAF不過是至標不治本的東西，程式本身有漏洞應該是將漏洞修補起來就好了，當然這是正確的觀念，如果你的維護的是小系統可能還可以迅速做修補，但如果是大型的 ERP 系統在現實上就沒有那麼簡單了，而且在修補的過程中沒有任何防護的話，還是有一段的空窗期喔。

為了獲得最好的安全效果，我們需要雙管齊下，一方面必須提高管理者和開發者的安全意識，另一方面儘可能提高應用系統的安全性。

因此，本文將介紹這款開放原始碼的軟體 ModSecurity，免費為您的網站主機多加一層保護。

ModSecurity 簡介

ModSecurity是一個開放原始碼的WAF（Web Application Firewall，網頁應用程式防火牆），是一個入侵偵測與防護引擎，它可以作為你的服務器基礎安全設施，目前支援Apache、IIS、Nginx 等..可增強這些 Web 伺服器的安全性和保護Web應用程式避免遭受來自已知與未知的攻擊。

網址：http://www.modsecurity.org/

ModSecurity功能特點

1. 即時監控和攻擊檢測
2. 攻擊防禦和即時修補
3. 靈活的規則引擎
4. 嵌入式模式部署
5. 基於網絡的部署
6. 可移植性

ModSecurity新特性

1. 增加狀態報告(Status Reporting)
2. 增加JSON解析器
3. 添加@detectXSS模塊
4. 連接限制(SecConnReadStateLimit/SecConnWriteStateLimit)支持黑白名單
5. 增加新變量FULL_REQUEST和FULL_REQUEST_LENGTH，支持對請求的所有內容進行規則限制。

簡單的說 ModSecurity 可保護您的 Web 應用程式免受複雜的攻擊，阻止線上身份竊取，並防止資料經由應用程式洩露，建議系統管理者都可以安裝這個防護措施。

Read More

使用Dual Stack同時擁有IPv4與IPv6 速度變慢(IPv6 Fallback)的解決方法

可能很多人沒有關注或發現，其實早在幾年前 IPv4 的位置就已經配發完了，也就是說未來我們架設的網站或Services，會逐漸面臨到如何與IPv6網路共存的問題，而最近遇到了一些客戶已經未雨綢繆地籌備IPv4到IPv6的過渡方法。

目前IPv4到IPv6的過渡方法有下列三種

1. Dual Stack（IPv4/IPv6雙堆疊）
2. Tunneling（隧道）
3. NAT-PT（轉換）

而我們其中一個客戶選擇使用第一種Dual Stack（IPv4/IPv6雙堆疊）的方式來做轉換，使用這種方式算是相當的簡單，只要電腦或是網路上的路由器同時支援IPv4和IPv6即可，對於公司行號內部來說轉換相當容易，只需將網路節點換成支援Dual Stack的裝置即可，每個裝置同時擁有IPv4和IPv6位址，2種網路同時並存在公司內部，卻又不相互干擾。不過當我們的客戶使用 Dual Stack 上線沒有多久，他們的使用者卻抱怨上Facebook變的很慢很慢(迷之聲..上班可以玩臉書嗎? XDDD)，一開始用戶懷疑是DNS解析以及同時擁有IPv4與IPv6 是不是有回覆的優先順序的問題，這邊我說明一下，DNS Server 會依用戶詢問的記錄(Domain name record)回覆，當某個Domain name record只有IPv4位址，就只回覆IPv4位址當某個Domain name record只有IPv6位址，就只回覆IPv6位址如果某個Domain name record有IPv4及IP6位址，則IPv4、及IPv6位址都回覆，所以沒有先後順序問題。

後來請用戶的網管人員調閱Firewall Log發現IPv6的連線都被Deny掉了，原來用戶的網管人員沒有設定IPv6的Firewall Policy，但用戶為什麼還是可以連到Facebook呢？原因是現在新的OS，一般都會先嘗試連線IPv6位址，而如果該Domain name record  的IPv6連線有問題，或是該Domain name record設定有問題，會造成OS繼續嘗試IPv6位址，大約在經過21秒後才改嘗試該Domain name record的IPv4位址，所以使用者雖然可以連上Facebook但很緩慢，這就是IPv6 Fallback現象。

所以要解決這個問題有兩種解決方法，第一個解決方法比較簡單，就是請網管人員開通Firewall Policy，第二種就是設定OS可透過下面教學，來控制OS本身IPv4、IPv6路由的優先順序，來避開這個問題。

Windows 設定方式

Windows: (::ffff:0:0即是指IPv4)，此指令輸入後是永久生效，不必每次都重新設定。

C:\>netsh interface ipv6 show prefixpolicies 正在查詢使用中的狀態... 優先順序    標籤   首碼 ----------  -----  --------------------------------         50      0  ::1/128         40      1  ::/0         30      2  2002::/16         20      3  ::/96         10      4  ::ffff:0:0/96          5      5  2001::/32 C:\>netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4 確定。 C:\>netsh interface ipv6 show prefixpolicies 正在查詢使用中的狀態... 優先順序    標籤   首碼 ----------  -----  --------------------------------        100      4  ::ffff:0:0/96         50      0  ::1/128         40      1  ::/0         30      2  2002::/16         20      3  ::/96          5      5  2001::/32 C:\>

Linux 設定方式

Linux: (::ffff:0:0即是指IPv4)，以下對/etc/gai.conf檔加入即可。

最後在做一個重開機。

~]# cat /etc/gai.conf # Label # Add another rule to the RFC 3484 label table. See section 2.1 in # RFC 3484. # The default is: label ::1/128 0 label ::/0 1 label 2002::/16 2 label ::/96 3 label ::ffff:0:0/96 4 label fec0::/10 5 label fc00::/7 6 # # Precedence # Add another rule the to RFC 3484 precedence table. See section 2.1 # and 10.3 in RFC 3484. # The default is: precedence ::1/128 50 precedence ::/0 40 precedence 2002::/16 30 precedence ::/96 20 #precedence ::ffff:0:0/96 10 # # For sites which prefer IPv4 connections change the last line to precedence ::ffff:0:0/96 100 ~]# shutdown -r now

Read More

企業為甚麼需要 SEO 搜尋引擎最佳化

最近跟Allen跑了好多地方，談了很多Case，發現到我們有些客戶網站的設計方式，還是停留在型錄網站的設計方式(只有圖片沒有文字的網站)，根據我們多年來的軟體開發與網站行銷的經驗，這在早期使用 Yahoo 網站目錄的搜尋方式或多或少還可以進行曝光，但現今的網路世代使用此種方式架設網站，已經讓您的網站曝光度大幅減低，甚至沉沒在網頁的大海裡。

怎麼說呢? 自2001年Google大神推出的搜尋引擎，就大大改變了人的思維，從Enquiro公司所做過的眼球軌跡實驗證明，大部分的人對搜尋結果，愈往下的搜尋結果愈沒有耐心閱讀與點擊來看，根據調查數據統計，搜尋結果在前10頁的，陌生訪客就有造訪貴公司企業網站的機會，若過了第10頁，造訪機會可說是0。但是，您可以依操作的習慣想想，我們在搜尋資料時，會看超過第3頁嗎?

也因此，越來越多的的企業主都開始思考SEM(搜尋引擎行銷)市場，他們結合公司的業務需求會提出一些關鍵字給SEM公司進行關鍵字的排名優化。 這也解釋了，為什麼越來越多的企業選擇在搜尋引擎第一頁做關鍵字優化服務的原因，同時關鍵字優化(SEO)與關鍵字廣告(PPC)相比，另一個最大的好處就是: 時效性長，曝光率高，潛在用戶的轉化率高，從而給企業帶來長期的巨大的經濟利益，而且還大大節約了企業經營上的行銷成本。

SEO行銷的第一個必要性，已經很清楚告訴你，你還沒進入SEO行銷的行銷模式，已經讓你錯失很多商機了。

延伸閱讀：

何謂SEO搜尋引擎最佳化?

網頁設計技巧-F型眼球運動軌跡

採取免費的行銷策略手法要點

搜尋引擎最佳化（SEO）與 點擊付費廣告（PPC）差異比較

Read More