关于防网页篡改.docVIP

关于防网页篡改的介绍 目前网站的网页之所以存在被篡改的可能性，有客观和主观两方面的原因： 客观而言，因为存在诸如以下原因，现有技术架构下的网站漏洞将长期存在: 操作系统复杂性：已经公布超过1万多个系统漏洞 漏洞与补丁：系统漏洞从发现到被利用为5天，补丁 发布时间为47天 应用系统漏洞：各种注入式攻击，多个应用系统不同的开发者。 主观原因而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现： 密码管理：合格密码需要8位以上复杂字符并定期改变 漏洞补丁：操作系统、中间件、应用系统的定期更新也许会带来风险，因此一般非必要，系统很少打补丁。 上网控制：钓鱼、木马、间谍软件 网络安全设备具备一些简单的防网页篡改方面的技术，但没有针对性，很难防止网页被篡改。 很多系统都使用了安全网关、防火墙和入侵检测系统等网络安全设备来保护自身的安全。 防火墙是一种成熟和应用广泛的网络安全设备，但是网银web服务器通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放Web应用端口，这种方式对与Web应用没有任何的保护作用。即使使用http代理型的防火墙，防火墙也只是验证http协议本身的合法性，完全不能理解http协议所承载的数据，也无法判断对http服务器的访问行为是否合法。 入侵检测技术也是工作在网络层，对应用协议的理解和作用存在相当的局限性，对于复杂的http回话和协议更不能完整处理，由于需要预先构造攻击特征库来匹配网络数据，入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击 目前网页防篡改的主流技术 大体目前市面上防篡改使用的技术如下： 定时循环扫描技术（即：外挂轮询）：利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。外挂轮询方式以轮询方式检测监控网页，在两次检测中间就会出现一个时间间隙，如果攻击发生在这个时间间隙中，则被篡改的网页内容已经被提供出去，危害已经造成，再恢复就没什么意义了。并且由于从外部不断地和独立地扫描Web 服务器文件，因此对Web 服务器形成相当的负载，并且扫描频度（亦即安全程度）和负载总是矛盾的。 事件触发技术：利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。如果篡改者获得高权限，可以屏蔽检查事件。 “数字水印”或“数字指纹”（即核心内嵌技术）：将篡改检测模块内嵌在Web 服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。核心内嵌技术需要对每一个流出的网页进行完整性检查，如果浏览人数众多，网页需要频繁的被检测，会极大的影响系统的性能。 操作系统加固（文件过滤驱动技术）：采用系统底层文件过滤驱动技术，分析与拦截IRP流。对WEB服务器的操作系统做加固或核心层的修改，只有特殊的方式、特殊的操作、特殊的权限，才能发布修改网页。 部署专门的网站防护硬件，部署在WEB前，集成前述技术。 专业的网页防篡改系统示例 目前市场上也有较多的专门防网页篡改的系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加 下面是一些厂商的篡改检测技术分享： 某厂商一： 将web服务器在对外发送网页时，利用数字水印技术对其进行完整性检查，如下图： 检查点： Web服务器准备向用户发送网页（网页文件已读入，尚未投放到网络上）。 检查对象 静态网页文件（HTML/CSS文件） 图像文件（GIF/JPG/PNG/BMP文件） 动态脚本文件（ASP/JSP/PL/PHP文件） 多媒体文件（WAV/MP3/FLS/MPEG文件） 二进制可执行实体（CGI/DLL/EXE文件） 其他所有可以在URL中访问/下载的文件 检查方式： 计算对象的数字水印，与水印库中的数据进行比较。 某厂商二： 此种也是采用水印技术来防止网页防篡改。