WAF是什麼?WAF能幹嘛?我網站需要WAF 嗎?

「WAF是什麼?」

現在你我的網站有著各樣的應用程式,例如常用會員登入、購物車、訂單系統、線上客服等都是。你確認這些程式都安全無虞沒有漏洞嗎?寫程式的是否為了方便,密碼用明碼儲存?訂單沒有加密傳輸,買什麼東西都被看光光?這些沒注意到的小細節,是駭客眼中的大漏洞。可以利用各式各樣的方式鑽進網站,看用戶密碼偷用戶刷卡資料等。輕則以後駭客就用這些來消費,你的網站用戶就是他的提款機。重則資料拿走,賣給詐騙集團賺錢。

WAF是Web Application Firewall(網站應用程式防火牆)縮寫而來。主要用於保護以上提到的應用程式們。方法是監控要連進網站的HTTP傳輸流量,比對病毒、惡意程式資料庫或惡意攻擊手法等,過濾出可疑流量然後把惡意流量拒絕在外,避免用這些漏洞攻擊網站。

網站都希望流量要大,訪客要多。只是訪客一多,難免有閒雜人等想要趁機混入。今天把網站比喻成一棟大樓,WAF就等於大門警衛的概念,針對每一個進入大樓的訪客進行檢查驗證,只允許好的正常的訪客進入,可疑危險的訪客就拒絕他們進入。

「WAF能幹嘛?」

根據上面所說的,WAF就是用來過濾可疑連線,保護網站的。

根據資安組織OWASP Top 10公布的2020年10大漏洞

Injection 注入攻擊
Broken Authentication 無效身分驗證
Sensitive Data Exposure 敏感資料外洩
XML External Entities (XXE) XML 外部處理器漏洞
Broken Access control 無效的存取控管
Security misconfigurations 不安全的組態設定
Cross Site Scripting (XSS) 跨站攻擊
Insecure Deserialization 不安全的反序列化漏洞
Using Components with known vulnerabilities 使用已有漏洞的元件
Insufficient logging and monitoring 紀錄與監控不足

我們由此可知攻擊手法千奇百怪,沒有幫網站做過弱點掃描的話,你怎麼知道你的網站程式藏著哪一些漏洞?WAF就是用來過濾這些針對網站的惡意攻擊的。

WAF 防護流程示意圖
下方這張圖片可用來說明,每個連線來源與目的都不相同,有登入會員的,有查訂單的。為了不讓所有連線用戶沒有差別的大搖大擺地進入網站,WAF會在進入網站之前,築起一道防護關卡。透過現有的資安威脅資料庫進行流量分析比對,判斷每個連線是否安全,准許安全流量進入網站。那些可疑的、有害的、不信任的流量就排除在外,避免惡意流量入侵網站影響安全性,確保網站的正常營運。

「我網站需要WAF嗎?」

講完「WAF是什麼?」「WAF能幹嘛?」,一定會有人說「我把程式寫得安全一點才是治本的方法。」把程式寫得很安全,這種思維絕對沒錯。值得鼓勵。

但是怎樣才算是安全沒有漏洞?現在寫得很安全,也許幾個月後駭客有新的攻擊手法!現在寫得很安全,換一個寫程式的,在他眼中網站漏洞百出,你要考慮網站整個重寫嗎?

當然你要重寫程式甚至重寫網站,都是自己的選擇。但是聰明的你要想一想這樣做是否符合成本效益?還是自找麻煩?

WAF扮演重要的網站安全角色。以捕夢網累積服務過很多用戶的經驗,我們明白網站時常經歷歷代不同工程師的改造(?),每個人的程式邏輯都不一樣。如果沒有統一管理或是依循不同邏輯繼續擴增網站服務,在新舊並存、語法各自為政的狀態下,網站在駭客眼中等同漏洞百出,可是企業往往不自知,讓他們駭客有機可趁。所以「網站需要WAF嗎?」,你認為呢?

「WAF對網站的價值在哪?」

如果你還是不明白WAF的價值在哪?你可以先想一想你網站價值在哪?

疫情只是催化劑而已,企業將產品及服務轉移到網路上早已是趨勢。在家就可以逛街買東西,手機滑一下就可以轉帳,平板開APP就可以看電影。網站取代了很多實體服務。這時候若網站被駭客攻擊、遭受勒索病毒、客戶資料外洩,導致面臨網站關閉。影響企業銷售、品牌名聲甚至經營存續。跟WAF比起來,網站的價值是否遠大於WAF?是否需要WAF,可以先從網站對您企業所具有的重要性與價值來判斷。

可是裝了WAF不表示就此高枕無憂,網站不需要做其他資安防護。駭客還是有許多其他方式鬧到你的網站生不如死的。

想更多了解WAF,可以參考我們捕夢網的官網
https://www.pumo.com.tw/www//security/waf.jsp

或是打電話或是來信給捕夢網,我們可以針對網站資安好好來聊一聊。
電話:02-8226-9123
信箱:service@pumo.com.tw

#WAF #WEB APPLICATION FIREWALL #網站應用程式防火牆

#SECURITY #WEB SECURITY #弱點掃描

#OWASP #OWASP TOP 10 #網站安全

#網站應用程式安全 #網站安全 #網站漏洞

您可能也會喜歡…

發佈留言