WAF 防護亦沒作用！新方案針對「合法的」網頁攻擊進行防禦工作？

現時愈來愈多駭客採用自動化程式攻擊網站，甚至是利用偷來的合法帳號及密碼，利用自動化程式產生成千上萬的合法連接來攻擊網站應用程式的弱點，由於此種攻擊看起來完全合法，唯一的差異是用自動化程式產生連接，而不是人為操作，使得傳統的特徵碼與規則庫掃描完全無法辨識，因為這些攻擊看起來就像正常的使用者連接，即使網站有 WAF 保護，在遭受此種攻擊也會完全失效。

針對這點，近日 ForceShield – 網站應用安全防護閘道(ForceShield Application Security proxy ) 」軟體便提出以動態應用安全架構將網頁的原始碼動態變形，使駭客無法找到網頁進入點，進而無法利用自動攻擊程式攻擊網站。

此種動態安全技術與傳統特徵碼掃描方式的最大不同之處在於它可阻擋「合法的」自動攻擊；因為當駭客使用合法帳號攻擊時，目前傳統的資安設備是無法偵測出此種惡意行為的，而動態變形是唯一可阻擋此種合法自動攻擊的技術。

此技術的引擎非常輕薄，而且無需特徵碼更新，即可阻擋自動化程式攻擊，不但可以保護網站應用程式安全，更可以同時保護手機 App 伺服器的安全，亦可以適用於物聯網的保護，因為物聯網的設備尚無法安裝傳統厚重的特徵碼掃描引擎。