สอบถามนะครับ มีลูกค้าเช่า Hosting แบบ Share ทั่วไป
แต่เว็บลูกค้าเองเขียนด้วย PHP MySQL แบบไม่ใช้ framework ซึ่งมีช่องโหว่ มาก พวก SQL Injection , Cross Site Script เบื่องต้นไม่ได้กันไว้เลย และเว็บโดยฝัง script redirect ไปเว็บอื่น
เท่าที่ผมลองตรวจสอบ คือ ถูกฝังอยู่ในตารางที่เป็นพวก banner ในหน้าแรก และ echo ออกมา และตัวเว็บก็ไม่ได้มีการใช้ htmlspecialchars กรอกก่อนการ echo
ผมแก้โดยการ replace ใน db พวกที่ เป็น redirect และ reset password ทุกอย่างให้ไปก่อน แก้ไขให้ไป 2-3 รอบ เพื่อแก้ปัญหาเฉพาะหน้าไป แต่ตอนนี้ก็ยังโดนอีก (หลังจากแก้ไป 2-3 วัน)
เป็นแค่เว็บนี้เว็บเดียว เว็บอื่นเท่าที่ตรวจสอบไม่พบ
ทางเจ้าที่ทำเว็บ (ลูกค้าจ้างมาอีกที) ก็ยังไม่แก้ไข SQL Injection , Cross Site Script ซักทีเหมือนเขาไม่เข้าใจ SQL Injection , Cross Site Script แจ้งแต่ว่าเป็นที่ Hosting ไม่ปลอดภัย
แบบนี้เราควรทำยังไงดีครับ หรือ มี tool อะไรมาช่วยในระดับที่ไม่ต้องไปแก้ code ได้ไหมครับ
เห็นมีพวก Harware (Web Application Firewall WAF) ก็แพงมากมาย