在大部分成功被駭客入侵的網站案例中,大多都屬於網頁程式設計師的疏忽,或本身缺乏安全的意識而開發的軟體,很容易造成網頁主機被入侵成功的危機,如果不確定自己有沒有被入侵,可以參考我之前寫的5個自我檢視資料庫之安全性的方法,先自行檢測看看。
一般為了預防像是 XSS、SQL Injection 此類的安全性漏洞,大多會購買WAF(Web Application Firewall,網頁應用程式防火牆)來阻絕駭客,但類似的產品,價格往往相當的昂貴,絕非一般中小企業所能負擔。 相關 WAF 資訊可以參考:
網頁應用防火牆(Web Application Firewal, WAF)
或許有人會說為什麼要砸大錢買WAF?WAF不過是至標不治本的東西,程式本身有漏洞應該是將漏洞修補起來就好了,當然這是正確的觀念,如果你的維護的是小系統可能還可以迅速做修補,但如果是大型的 ERP 系統在現實上就沒有那麼簡單了,而且在修補的過程中沒有任何防護的話,還是有一段的空窗期喔。
為了獲得最好的安全效果,我們需要雙管齊下,一方面必須提高管理者和開發者的安全意識,另一方面儘可能提高應用系統的安全性。
因此,本文將介紹這款開放原始碼的軟體 ModSecurity,免費為您的網站主機多加一層保護。
ModSecurity...
