PCI標準網站程式規範

許多網站都有網站程式，駭客特別熱中攻擊網站程式，PCI標準規範特別指出該如何保護網站程式的安全。當中提到，處理信用卡資料的網站管理者，必須透過以下兩種方式其中一種，達到PCI標準規範的要求：

• 原始碼檢測

  企業通常擁有不只一種網站程式，並時常新增。所以我們難以評估說，進行所有程式的原始碼檢測需要耗費多少人力及成本。IT部門不僅要準備檢測用的原始碼，提供檢測單位支援。檢測報告出爐後，還要安排時程修補及測試程式，確認程式可以正常執行。
  
  

  並且規定必須透過以下四種方式來完成：

  1. 人工程式原始碼檢測
  2. 使用自動程式原始碼檢測(掃描)工具
  3. 人工網站程式安全性漏洞評估
  4. 使用自動網站程式安全性漏洞檢測(掃描)工具

  「尋找漏洞、修補漏洞、測試程式」這種測試周期不可能一次找出程式中所有的漏洞，因此導致這周期必須周而復始的不斷重複。你還必須確認程式的修補與測試不會影響到網站的正常營運。

  最重要的是，原始碼檢測只能檢測當下已知的漏洞，無法抵禦未知的漏洞。因此選擇為網站安裝WAF顯得更具吸引力。

• 惡意軟體帶來的傷害

  許多網站管理員仍對紅色代碼病毒(Code Red)以及Nimda蠕蟲對於IIS伺服器造成的傷害記憶猶新。當時駭客透過DDoS攻擊及路徑探索(path traversal)等方式，任意竄改網站或攻擊網站。
  由於微軟樹大招風，永遠是惡意軟體攻擊的目標之一。即使微軟的工程師盡心盡力修補已知漏洞，但數以千計的惡意軟體仍在外散布，對微軟伺服器造成極大的威脅。

• 為網站安裝WAF

  委員會(PCISSC)規定可以安裝WAF來取代定期的原始碼檢測。不論是硬體版或是軟體版的WAF，都是架在客戶端以及網站程式之間。不同於傳統防火牆和入侵防禦系統，WAF能明白應用程式層的邏輯，這對保護持卡人資料來說是必要的。

為合乎規範安裝WAF的必要性

WAF提供一個直接且節省成本的安全解決方案。不僅合乎PCI標準規範，也針對SQL injection、XSS跨站攻擊和衝著網站程式來的攻擊，提供即時性的防禦。WAF強調預防入侵，而非偵測漏洞。針對網站流量進行深入的封包檢測，在網站程式前架設一道安全防禦。

優點如下：

1. 合乎PCI標準規範
2. 不需付出額外的研發成本
3. 適用於由第三方開發的程式或元件

WAF可以做到原始碼檢測所做不到：

一旦WAF設置完成，便可抵禦以下攻擊：
路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 XSS跨站攻擊 / SQL Injections