你的网站经常被恶意爬虫,重要数据被批量搬运吗?
你想知道你的网站是不是安全的,有没有被 xss攻击、sql注入、命令注入等等这些乱七八糟的攻击手段攻击吗?
2014年我还是学生的时候,负责学院官网的维护,一个月可以领到 300 块钱的勤工俭学奖励,每天上课之余写大量的网页已经让我竭尽全力,更不要指望对这个网站有什么像样的安全防护了。一天半夜我的学长打电话给我:你知道吗,学院官网被黑客入侵过了,院长很生气,已经在找人紧急处理这件事了。我脑子里的第一反应是:一间从来不锁的屋子终于进了小偷。万幸这个黑客没做什么过分的事情,如果他在我们的官网上发布一些敏感言论,对于我们后果是难以想象的。
多年以后回想起这件事,我仍然认为当时作为学生的我,几乎没有可能做的更好。这情况像极了一些中小网站的现状,他们的研发团队虽然也懂一些安全技术,但无法投入更多精力去保障网站的安全,而市面上的 WAF 产品动辄一年要好几万,这个价格对于他们来说几乎是不可忍受的。
有过一项调研,91% 的企业声称至少遭遇过一次网络安全或数据泄露事件,而“低网络安全成熟度企业”更是重大网络安全事件的高发区。如果你有一个网站,安全方面的预算不多甚至为 0,那么可以试着去安装一套免费的雷池社区版。他的安装、使用都很简单,各方面的防护能力也还可以。他们的社区很活跃,目前 github 的 star 数过万了,如果你是个技术达人,可以加入他们的社区,和来自全世界的 waf 用户一起根据自身需求对配置进行魔改。