dotDefender WAF 網站安全的捍衛者
dotDefender 為以色列領導品牌的網站保護防火牆軟體 ( Web Application Firewall )。dotDefender WAF 可保護伺服器上網站或網路服務,即使更新、更動或擴展程式碼,仍持續不間斷的防禦。提供企業級的資安防護、具進階且整合能力,降低企業之營運成本。
dotDefender 為以色列領導品牌的網站保護防火牆軟體 ( Web Application Firewall )。dotDefender WAF 可保護伺服器上網站或網路服務,即使更新、更動或擴展程式碼,仍持續不間斷的防禦。提供企業級的資安防護、具進階且整合能力,降低企業之營運成本。
dotDefender WAF 解決企業資安問題,包含 SQL 注入攻擊和 XSS 攻擊等常見的駭客手法與如何提供更充足的電子商務和網站伺服器安全等等,讓企業網站安全更有一層保障,以下詳細說明如下。
微軟 IIS 伺服器,微軟將許多 IIS 功能預設為開啟的狀態,導致衍生一些安全性的問題。因為不用複雜繁瑣的設置步驟,IIS 伺服器很快就能設定完成。因此,不少使用 IIS 的網站管理員安裝完畢後,懶得多設定幾個步驟確保他的網站程式安全,導致駭客輕易入侵伺服器及網站。
透過執行 SaaS ( Security-as-a-Service ) 解決方案,WAF 能為網站伺服器提供保護,為網站程式避免許多威脅。透過檢測分析網站流量內容,確認是否符合或違反通訊協議、port 或IP,避免網站程式被攻擊。WAF 能提供優化後的防禦服務,防禦 DDoS 攻擊、XSS 跨站攻擊、SQL Injection、path traversal 以及其他網站攻擊技術。
路徑探索 ( Path Traversal ) / 已知蠕蟲 / 遠端命令執行 / 探針 ( Probes ) DDoS 攻擊 / 伺服器入侵
雖然雲端運算對企業來說非常具有優勢,雲端仍有不安全潛在風險,包含資料交給主機商管理或交由他人幫你管理程式的風險等。部屬 WAF 是保護網站程式及資料的一種方式,雲端服務商不需額外增添硬體設備,可以安裝在網站程式前面提供保護。
路徑探索 ( Path Traversal ) / 已知蠕蟲 / 遠端命令執行 / 探針 ( Probes ) / DDoS攻擊 / 伺服器入侵
如果網站沒有任何防禦措施的話,就容易遭受以下攻擊,包含結合其他入侵手法,竊取網站用戶的帳號和密碼、跟蹤特定使用者,追蹤其瀏覽行為,侵犯個人隱私、濫用伺服器以及頻寬等網路資源、透過瀏覽器,使你的電腦變成駭客控制的殭屍電腦之一、竊取網站資料或者是網站內容、任意修改或者破壞你的網站內容。
由於電子商務的利益龐大驚人,購物網站自然成了駭客眼中的肥羊,入侵你的網站伺服器,造成客戶無法瀏覽網站。或當網站信用卡資料遭竊,通常都會成為隔天的新聞頭條。而現有客戶或潛在客戶看到新聞,便會逃之夭夭造成你的損失。
SQL Injection / XSS跨站攻擊 / Path Traversal
Session Hijacking ( 會話劫持 ) / 惡意軟體 ( Drive-by downloads )
駭客攻擊像是伺服器操作系統上的漏洞,讓駭客可以存取網站的檔案。發送垃圾郵件或惡意檔案給無辜的訪客。網站便會被搜尋引擎列為惡意網站,之後被搜尋引擎從搜尋結果中刪掉。另一種為有網站程式的動態網站,提供駭客多種管道攻擊網站,進到網站資料庫中竊取後用於信用卡詐欺或是盜用他人身分。DDoS 攻擊則會導致網路服務中斷,如果有任何透過網路執行的重要業務,最好即刻中斷。
XSS 跨站攻擊 / SQL Injection / 遠端命令執行 DDoS 攻擊 / Path Traversal
信用卡依舊是網路購物付款的主要選擇。如此龐大的信用卡金流在網路中流通,世界各地的網路罪犯早已覬覦垂涎許久。PCI 標準規範是國際通用的信用卡金流安全規範。PCI標準規範要求店家 ( 包含網路及實體商店 ) 須合乎以下規範。
建立並維護一個安全的網路系統 / 保護持卡人資料 / 需有漏洞管理的程序 / 實施有效的連結控管措施 / 定期監測並測試網路系統 / 需有資訊安全政策
路徑探索 ( Path Traversal ) / 已知蠕蟲 / 遠端命令執行 探針 ( Probe ) / DDoS 攻擊 / 伺服器盜用 / XSS 跨站攻擊 / SQL Injections
跟其他網站伺服器一樣,沒有正確設置 Apache 的話,等於等著駭客上門。預設安裝變得更加容易,但也因為裝了許多不需要的服務,而導致伺服器的安全性降低。執行越多的程式服務等於暴露在越高的風險當中。
WAF 可以抵禦 Apache 伺服器以下漏洞。Apache 伺服器的安全性一直都在網路管理員的優先名單之內。但你沒有用同樣嚴謹的態度對待這些網站程式的話,還是很容易壟罩在駭客攻擊的陰影中。
XSS 跨站攻擊 / 路徑探索 ( Path Traversal ) / SQL Injection
會話劫持 ( Session Hijacking ) / Link Injection / 惡意軟體 / DDoS 攻擊
許多網站都有網站程式,駭客特別熱衷攻擊網站程式,PCI 標準規範特別指出該如何保護網站程式的安全。當中提到,處理信用卡資料的網站管理者,必須透過以下兩種方式其中一種,達到 PCI 標準規範的要求 :原始碼檢測 & 為網站安裝 WAF。
WAF 提供一個直接且節省成本的安全解決方案。不僅合乎 PCI 標準規範,也針對 SQL injection、XSS 跨站攻擊和衝著網站程式來的攻擊,提供即時性的防禦。WAF 強調預防入侵,而非偵測漏洞。針對網站流量進行深入的封包檢測,在網站程式前架設一道安全防禦。
路徑探索 ( Path Traversal ) / 已知蠕蟲 / 遠端命令執行 探針 ( Probe ) / DDoS 攻擊 / 伺服器盜用 XSS 跨站攻擊 / SQL Injections
網站資安,有的客戶輕忽以對,事後才想挽網站資安,有的客戶輕忽以對,事後才想挽救;有的客戶嚴陣以待,事前做足防備。無論您是在何種情況下來尋求我們協助?元盾必定為您打造更安全更值得信任的網站安全救;有的客戶嚴陣以待,事前做足防備。無論您是在何種情況下 來尋求我們協助?元盾必定為您打造更安全更值得信任的網站安全。
會員個資、訂單紀錄、帳務資訊,透過網站累積的資料是一家企業的重要資產。確保資料庫安全無虞,不會遭駭客偷取,是 MIS 首要任務。許多企業改善網站安全第一步,從安裝WAF 開始,將駭客抵擋在外。
曾有小型企業 MIS 發現,網站不定時連線速度變得緩慢,才發現網站被駭客當成跳板,被利用去攻擊其他網站。裝設 WAF 之後,為網站過濾掉惡意的連線行為之後,使得 MIS 更能專注於修復網站程式漏洞。
安裝 WAF 能應對常見的駭客手法,過濾惡意的連線攻擊,作到最基礎的防禦措施。因應近年對於政府資安逐漸的重視,元盾身為專業資訊外包,幫忙客戶網站須提出資安防護證明,協助順利結案上線。
重視資安、態度嚴謹的客戶,在程式開發測試階段,即租用 WAF,一邊編寫程式一邊透過WAF 測試程式漏洞。讓程式工程師根據測試結果,修正程式,讓網站一上線即可趨近完善,更加能夠省去事後繁瑣的修改。
每個網站所需 WAF 模式不盡相同,元盾專業團隊依客戶情況逐步調整觀察與調整,以客戶需求為第一考量,客製化服務客戶。
定時針對網頁應用程式公布,隨時升級資料庫,以因應新型態攻擊發生,並符合 ISO 27001、OWASP TOP 10、PCI DSS、NIST、HIPAA 等標準。
可以定時寄發防禦報告。報告清楚顯示程式漏洞的危險程度,客戶可明白網站修改的優先順序。
每當有新的攻擊手法發生,工程師就會重新檢視WAF 設定,確保客戶網站保持安全,不會被駭客入侵。
針對企業量身客製化設定,定時針對網頁應用程式公布,隨時升級資料庫,以因應新型態攻擊發生。
請填寫下方資料,將有專人與您聯繫或撥諮詢電話02-55625888諮詢!