為避免駭客透過網站伺服器的漏洞入侵，企業除了將網站伺服器與內部資料庫分開外，更應評估建立系統備援機制。

隨著Web 2.0的興起，將有更多應用程式與系統走向Web化，但是，根據科技犯罪防治中心調查，駭客透過網站伺服器的漏洞進行入侵的案件，就占了整體受駭案件的1/3。

根據今年上半年刑事局所破獲的各種網路犯罪的案件中，以妨害電腦使用的比例最高。內政部警政署刑事局科技犯罪防治中心主任李相臣表示，其中高達1/3的受駭案件，駭客是利用網站伺服器的漏洞進行入侵，最常見的攻擊手法，仍是利用SQL Injection的漏洞攻擊。

李相臣指出，這些受駭網站包含電子商務網站以及網路銀行網站，很多企業的IT人員都為了省事，網站伺服器和會員資料庫，都安裝在同一套主機，並沒有區隔。因而駭客一旦透過網站伺服器成功入侵，馬上就能夠進一步入侵會員資料庫以取得相關資料。此外，許多企業網站成為駭客恐嚇、勒贖的標的。李相臣指出，有許多企業遭到駭客恐嚇，要脅不付錢就將系統斷線或癱瘓電腦，此類案件數量比去年同期多出數倍，其中，許多駭客的IP都來自中國大陸，也造成刑事局在偵辦時的困難。

針對駭客利用網站伺服器的漏洞入侵，藉此恐嚇勒贖，李相臣建議，建立系統基本的斷線和備援機制，才是企業主對抗這些惡意威脅與攻擊的好方法。網站伺服器與內部資料庫分開已是基本防護措施，不可貪圖方便而忘了安全，企業更應評估建立系統備援機制。

李相臣指出，不論是修補漏洞，或是設置各種防禦設備，都只是增加攻擊難度、延長駭客入侵得逞的時間，進而留下駭客入侵的追查線索。但是，如果企業察覺駭客已經入侵，再怎麼阻擋也來不及了，此時，立即將系統斷線，另外啟動未遭入侵的備援系統，才是最佳的防禦方式。

來源: http://www.ithome.com.tw/it...php?c=39760