試想想,如果有訪客透過瀏覽你的網站而中了木馬程式和病毒,網站的聲譽必定受損,特別是購物網站,肯定要花很多時間和功夫才能令消費者重拾信心。
黑客神出鬼沒,經常使用不同的入侵手法,最常見有開設和原本網站很相似的釣魚網站,使訪客不知不覺間透露密碼和私人資料;第一時間利用軟件的漏洞,如即時通訊軟件的漏洞,假扮朋友傳送惡意程式給你。他們很懂得利用人們的好奇心和社會大事,使用誘人的標題,吸引用戶開啟含惡意程式的電郵或者透過各種途徑下載加料檔案。黑客最新的把戲是入侵正當網站,在網站植入惡意程式,使訪者在沒有防範下更容易中招。
據 Scansafe 最近發表的研究報告中指出,今年上半年含惡意程式的網頁激增 278%,六月份更爆發大量正當網站遭植入惡意程式事件,著名大型網站 Wal-Mart, Business Week, Ralph Lauren 也在名單上。而 Scansafe 攔截的惡意程式中,高達 66% 是來自正當網站。
正當網站遭植入惡意程式不是外國獨有,在同一時期,兩岸上萬個網站也受襲,原因是有人製作了一些簡易入侵工具,令黑客新手都可輕易地向網站施襲。事實上如果你有留意國內黑客的消息,可能知道這些工具在去年已陸續出現,有黑客已用了這些工具一年以上,某些網站可能被植入惡意網站也懵然不知。
黑客利用正當網站的漏洞發放惡意程式,換言之防毒防木馬也成為網站的責任,網站負責人有什麼方法可以自保呢?
- 參考 Google Quick security checklist for webmasters
- 如果你的網站用現成的系統製作,應要確保網站使用最新的版本,不要怕麻煩不更新,或者賺價錢貴,不參加保養計劃 (某些付費程式要收取年費才提供更新版本,選購時一定考慮清楚,不應不參加)
- 如果你用建站系統,應該向服務供應商查詢,不過口講無憑,最好要求對方提供由第三方系統安全公司提供的證明
- 使用網站安全檢查服務
網站安全檢查服務在中文網站中不常見,原因是價錢很貴,其中一個供應商就是著明的免費防火牆公司 Comodo。不過由於近日發生在台灣的事故,Trend Micro 將會提供中文的服務。
台灣購物網站規模大,有能力支付網站安全檢查服務費用,但對香港的小購物網站而言實在太貴了。較經濟的做法是檢查兩大網站漏洞黑點:SQL Injection 及 XSS Scripting,日後再談。
留言
寫下留言