無論企業是使用實體、VPS或雲端主機，dotDefender都能為Apache及IIS伺服器提供企業級的網站程式安全解決方案。

dotDefender能防止跨站腳本攻擊(Cross Site Scripting)、SQL注入攻擊(SQL Injection)、信用卡資訊洩露、DoS攻擊等其他手法。不僅符合PCI DSS一致性規範，還能提供電子商務安全、IIS和Apache伺服器安全、雲端安全等。

值得注意的是，支付卡行業(PCI)安全標準委員會要求所有會透過網路處理信用卡資訊的公司，都必須符合以下規範：1.網站程式資安漏洞檢測，2.安裝網站程式防火牆。

PCI安全標準委員會將網站程式防火牆定義如下：

• 「在網站程式以及客戶端之間安裝一個安全策略執行點。這項功能可以不限於軟體或是硬體形式，也不限於以獨立設備執行或是常見的典型伺服器執行。可以是一個獨立的設備，或是整合到其他網路設備當中。」

基本上來說，網站程式防火牆(或稱為WAF)就像傳統防火牆保護網路一樣，保護著網站程式。能夠控制進出的流量，保護網站程式不受入侵。但是，傳統的網路火牆或入侵預防系統(IPS)都會在還不清楚程式負載的情況下，評估IP封包或協議，因此無法針對應用程式層提供保護。在不了解HTML資料負載的情形下，layer 3設備就無法辨析並解決這類型的應用程式層威脅，導致網站程式容易受到攻擊。

跟阻擋連接埠或依照IP過濾的傳統防火牆的做法不同，網站程式防火牆會針對不同的網站服務層(HTTP、HTTPS、SOAP、XML-RPC)等，查看每一個請求和響應。對於網站流量如此精密的檢測，也贏得「深度封包檢測防火牆」的美名。

與網站程式相關的風險

不需要PCI DSS一致性規範的許多網站可能不用擔心。因為他們根本不需要透過網路收集信用卡資料，而利用其他付款方式例如PayPal，處理他們的線上交易。

不幸的是，對於任何有經營網站的企業或個人來說，部署任何類型的網站程式 -商業程序或由主機商提供的程式 - 都會使網站面臨以下風險：

• 網頁竄改及惡意破壞：使用路徑探索(Path Traversal)，駭客可以看到一般合法用戶看不到的部分網站 – 例如位於根目錄之外的文件和資料夾。

• DoS攻擊：

  透過操控流入的網路流量，駭客可以讓網站伺服器超過負載、網站程式當機或引來爬蟲造成執行緩慢。當網站受駭時，那些來到網站消費的、來瀏覽網站的或是來參與社群討論的人都會感到失望，造成品牌損失以及潛在的業務損失。

• 被竊的用戶資料：

  藉由SQL 注入攻擊(SQL Injection)，駭客可以存取任何儲存在資料庫的資料，而那些資料正是網站賴以維生的。像是用戶帳號、用戶身分和信用卡之類的資料可能被竊取或被濫用。跨站腳本攻擊(Cross-site scripting)也可以用來詐欺用戶。透過將惡意腳本上傳到受駭網站，駭客可以模擬一個登錄區塊，讓用戶無意間將資料透漏給駭客。

• 被竊的用戶對話：

  使用跨站腳本攻擊(Cross-site scripting)，駭客可以竊取合法用戶ID，並用來獲取用戶資料。

• 被搜索引擎標註為惡意網站：

  許多被找到的網站漏洞，都允許駭客上傳垃圾連結到網站上。受到跨站腳本攻擊(Cross-site scripting)的網站也會被駭客用來上傳惡意程式，例如特洛伊木馬、鍵盤側錄程式、惡意廣告軟體、間諜軟體和其他惡意程式。一旦搜尋引擎發現網站有病毒或惡意軟體，就會將其標註為惡意網站，把網頁排名下降。其實任何網站程式都有風險存在，無論是商業程式或是用開放原始碼寫的程式，都會有潛藏的漏洞存在。一旦得知漏洞存在，駭客便會群起蜂擁地針對網站開始攻擊。

預防網站程式攻擊

原始碼檢測及漏洞評估是幫助網站程式找出及修補已知漏洞的絕佳方式。雖然這兩種方式都不錯，但也都存在著以下的隱憂。

成本

原始碼檢測及漏洞評估相當昂貴。其中一種替代方式，在企業內部找尋人員來執行這項任務，但人員必須接受過專業訓練。專業訓練的的成本也不便宜。另外，讓這些人員專心進行原始碼檢測及漏洞評估，不做其他事情。別開玩笑了，在小規模的企業是不可能的。

零時差攻擊

原始碼檢測及漏洞評估確實有效，但僅限於已知漏洞。零時差攻擊因為是還沒被發現的，也沒有修補程式可以修正。即使是最好的檢測人員也無法針對不存在的問題提出修復建議。

網站程式防火牆

網站程式防火牆是取代是原始碼檢測及漏洞評估的解決方案。利用模式識別偵測並阻止零時差攻擊和其他不斷進化的威脅，藉由會話保護幫助防止駭客模擬合法用戶，透過簽名知識庫來阻止已知漏洞及駭客，網站程式防火牆才能主動持續不斷地保護網站程式免受威脅。

藉由dotDefender可避免網站程式免於多重威脅。dotDefender會檢測HTTP流量並根據規則檢查封包，例如允許或拒絕協議，連接埠或IP，加以阻止網站程式被入侵。

身為隨插隨用的軟體，dotDefender提供最佳化即時保護，可阻擋Dos攻擊、跨站腳本攻擊(Cross-site scripting)、SQL 注入攻擊(SQL Injection)、路徑探索(Path Traversal)以及其他許多攻擊手法。

為網站程式提供dotDefender全面防護的理由如下：

1. Apache或IIS伺服器都能輕鬆安裝
2. 針對已知和新興駭客攻擊手法提供資安防禦
3. 針對即時防護提供最佳預設安全規則
4. 透過介面及API輕鬆管理多個伺服器
5. 無須額外的硬體設備，讓您輕鬆擴展業務

避免攻擊的必要性

Gartner研究指出75%的駭客攻擊發生在應用程式層。隨著越來越多程式，例如Google Apps和Microsoft Office，可以透過瀏覽器使用，以及更多程式能夠透過雲端運作。企業資料越來越容易受到多種駭客手法的威脅。

將資料暴露在風險中的代價可是很高昂的。2003年TJ Maxx企業受到攻擊，營業損失和罰款加起來預估達5-10億美金。除此之外，股價也大約下跌了66%。顯而易見，營業損失並不是傷害企業利益的唯一方法。小型網站無法阻擋這種攻擊，就成為網路犯罪的主要目標。駭客利用這類型網站當作跳板，散佈惡意軟體以及進行詐欺。網站很快地就會發現在外聲名狼藉，被標註為惡意網站，而用戶們也都一去不復返。

網站程式防火牆在網站伺服器檢查進入流量時，就會直接阻擋這些請求。從這裡開始，網站程式防火牆能夠以高效且及時的管理方式阻止任何惡意入侵。

在選擇網站程式防火牆時，請將以下準則謹記在心。

1. 是否能為須同時在外部及內部網路上執行的程式提供保護？
2. 是否支援多種網站伺服器軟體及操作系統？
3. 是否提供即時保護？
4. 是否會自動更新？
5. 是否能與其他資安系統整合？
6. 是否易於維護？
7. 是否易於管理？

利用dotDefender保護網站程式

dotDefender安全防護方法並不需要去學習在每個網站程式的特定威脅。運行dotDefender運作的重點在於分析請求及請求對於網站程式的影響。有效的網站程式安全是奠基於三大網站程式安全引擎：模式識別，會話保護和簽名知識庫。

dotDefender採用的網站程式安全引擎「模式識別」，可有效地抵禦惡意行為，例如以上提到的攻擊手法等。這些模式是基於規則運算式所建立的，能有效且準確地識別各種應用程式級別的攻擊方法。因此dotDefender的錯誤率極低。

dotDefender與眾不同之處在於提供了全面性防禦DoS攻擊的保護，同時也是最簡單的解決方案之一。

即使是未受資安訓練的網站管理員，也能輕鬆安裝並執行dotDefender。預設的安全規則設定提供了即時的保護，也能透過瀏覽器介面管理，不影響伺服器或網站效能。