當人們的日常生活不知不覺地邁入Web 2.0時代,人類既有的交流方式改變了,舉凡資訊傳播、商業模式、金融交易,乃至社交型態、生活習慣等等。隨著越來越多消費者會在網路上提供個資給相關單位使用,竊取資料等案件與非法獲利金額日增,如何有效因應大眾財產的損失,網際網路安全意識儼然成為公共安全的重大議題。
國際研究機構Gartner指出,大約有75%的網路攻擊事件是與網路應用程式有關,顯示出網站應用程式已經成為駭客主要攻擊目標。在台灣,警政署統計今年上半年電腦網路犯罪發生數接近一萬四千件,比去年同期增加了將近一成七。其中網路詐欺案佔了半數以上,發生率更遠遠超過去年同期的五成。平均每個月因詐騙被害的金額就高達四億新台幣左右。
由於網站是屬於公開存取的架構,任何人都可經由port 80與網站連結,駭客多半透過網頁應用軟體,像是網路瀏覽器(IE、Firefox)、電子郵件、線上遊戲、即時通訊(MSN Messenger、ICQ)等網路應用服務,以常見的SQL Injection、跨站腳本程式(XSS)、目錄穿越等攻擊手法,取得權限進入管理者資料夾,植入惡意程式。
政府或企業網頁透過各種宣傳手法,吸引民眾到站瀏覽,如果一旦被竄改、植入惡意連結、成為惡意網站,只要網站使用者連上該網站,就會踏進駭客預先設計好的陷阱,在不知情的情況下,使用者被植入木馬程式,其網路銀行、線上購物、個人信箱之帳號密碼、電腦系統中之文件與照片、隨身碟內之檔案資料,皆有外洩的可能。這時候所危害的已經不只是客戶權益和信任,還要賠上企業營運性與後續補救措施所花費的人力、時間、金錢成本。網站經營者對駭客入侵的防範措施,提升網站安全性才能展現社會責任的價值觀。
市面上有很多組態的web security產品,傳統資安設備如防火牆與入侵偵測系統,並無法有效分析應用層資訊,但是藉由網路應用程式防火牆(Web Application Firewall,WAF)在OSI第七層(Application Layer)直接過濾阻擋特定HTTP指令方式,可迅速有效地降低網站被掛馬、竄改的機率。
相較於企業硬體型WAF龐大的取得、維護與建置成本考量,軟體式WAF更顯得彈性、方便,極適合中小企業以及個人工作室用戶基本需求,提供最主流的網站攻擊防護功能,另外在選購WAF時,也要注意是否符合PCI-DSS(支付卡產業數據安全標準)的產品,確實保障網路金流的安全性。