网页防篡改(通用6篇)
网页防篡改 篇1
伴随着互联网技术的不断发展, 政府、企业、团体甚至个人都会建立网站进行宣传和传达信息交流。网站的数量不断增加, 越来越多的黑客开始入侵网站, 肆意篡改其内容, 让网站管理者头痛不已。目前, 很多的“钓鱼网站”通过入侵正规网站, 植入木马, 盗取用户的账号信息和身份信息, 让用户遭受巨大的经济损失。
虽然目前很多安全设备例如安全网关、防火墙以及入侵检测系统都具备一定的网页防篡改功能, 但由于网络系统的复杂性、网络结构的多样性以及各类安全漏洞的存在, 使得网页防篡改技术成为保护网络安全的重要手段。本文重点从分析网页篡改的途径, 探讨国内市场上主流网页防篡改技术的应用。
1 网页篡改的途径
根据黑客的篡改目的, 网页篡改可以分为两种类型, 即经济类型与政治类型, 主要为以获取经济利益为主的篡改事件, 多针对商业网站, 这种篡改造成的危害是非常大的, 如果处理不到位, 往往会给商家带来致命的损失。但是, 就目前来看, 很多遭受网络攻击的商业机构都未意识到这一问题的严重性, 心存侥幸, 陷入了困局之中。与经济类型相比, 政治性的网页篡改问题更为严重, 这主要针对政府机构、民间组织以及宗教组织, 此类网站受众多, 传播性与权威性强, 一旦网页被篡改, 将会造成极为严重的影响, 甚至会上升为政治问题。近年来, 各国政府也意识到了这一问题的严重性, 政府网页被篡改问题得到有效改善。黑客进行网页篡改的手段层出不穷, 但归根结底不外乎如下的四种途径。
1.1 获取Webshell
Webshell其实就是通常所说的网页“后门”, 目前几乎所有的Web应用程序都存在安全漏洞, 计算机黑客利用这些漏洞, 通过第三方软件获取Web应用程序的后台控制权, 便可以随心随遇的篡改网页。
1.2 跨站脚本攻击引入HTML界面
网络黑客通过往正规Web页面中插入恶意代码, 当用户浏览此网页时, 插入其中的恶意代码就会发生作用, 从而将用户引入黑客篡改好的网页界面中, 而用户还毫不知情, 以为自己浏览的依然是“正常”的网页。
1.3 控制Web服务器
Web服务器通常指网站服务器, 其结构类似于图书馆, 楼层和房间就是目录, 网页文件就是书架上的书籍。黑客通过相关手段控制Web服务器的后台管理权限, 任意更换修改其中的内容。
1.4 控制DNS服务器
DNS是域名系统的英文缩写, 其主要作用是进行域名和IP地址的转换。控制DNS服务器就是通常所说的DNS劫持, 利用网络路由器的缺陷对用户DNS进行篡改, 用户只要点击恶意网站页面, 就会被篡改路由器的DNS, 这种手段容易躲开安全软件的检测, 而且防不胜防。
目前大量的钓鱼诈骗都是通过此种手段操作。
2 网页防篡改技术的应用
随着计算机网络技术的发展, 网页篡改的手段和形式也不断变化, 网页防篡改技术出于网络安全目的, 也在不断进行改进。最初利用人工对比检测方法修改被篡改的网页, 发展到时间轮询技术监控扫描网页, 及时复原, 以上两种方法都比较被动, 而且无法有效的防范网页被篡改。网页防篡改技术经过不断的发展, 目前主要在市场上应用的有以下四种技术。
2.1 定时循环扫描技术
定时循环扫描技术其实就是时间轮询技术的高阶发展, 其原理是按照用户设置的间隔, 使用程序对网站的目录进行定时循环扫描, 一旦发现网页被篡改, 便可及时的使用备份文件进行恢复。
此技术的应用简单, 但难以适用于大型网站, 因为大型网站的页面内容十分庞杂, 造成扫描时间太长, 十分占用计算机系统资源。因此这种技术对中小型网站比较适用。
2.2 事件触发技术
事件触发技术, 是通过对网站目录和文件进行实时监控, 每次当文件进行修改时, 进行合法性的检测。一旦发现网页被篡改, 立刻对其进行恢复。相比较定时循环扫描技术, 事件触发技术更具备时效性和针对性。事件触发技术只是对疑似篡改的监控和恢复, 其判断的标准文件的大小、修改时间、格式等文件属性, 无法保证文件内容是否被篡改过。
2.3 核心内嵌技术
核心内嵌技术本质是密码技术, 对网页内容嵌入密码, 访问者进行文件的改动操作时需要进行密码验证。因为密码的保护可以保证访问者所浏览的内容正确有效。这种技术特别适用于私密性很强的网站, 例如高科技企业内网、研究机构内网, 具有很高的安全性。但其缺点主要在于加密和解密环节需要占用很大的系统资源, 对网站服务器的承载能力要求较高。
2.4 文件过滤驱动技术
文件过滤驱动技术和上述提到的网页防篡改技术最大的区别在于它是在“事前”主动防御, 是真正意义上的防御技术。其基本原理如同雷达, 一旦发现有外界的侵入便立刻进行拦截, 高效并且安全。
文件过滤驱动技术虽然优点明显, 但缺点同样突出, 因为一旦被外界突破防线, 那就彻底失去了防范能力。
3 总结
本文通过介绍目前市场上主流的网页防篡改技术应用, 分析其各自的优点和缺点, 探讨未来的发展趋势。目前已经有安全软件企业将“事件触发技术”和“核心内嵌技术”结合起来, 取得了不错的防护效果。随着政府、社会和企业对网络安全的重视程度越来越高, 网页防篡改技术也会不断创新发展。
摘要:在网络的发展下, 网页篡改问题层出不穷, 目前很多安全设备例如安全网关、防火墙以及入侵检测系统都具备一定的网页防篡改功能, 但是往往无法满足要求。本文主要针对网页篡改的途径以及网页防篡改技术的应用措施进行分析。
关键词:网页防篡改技术,应用,问题
参考文献
[1]张磊, 王丽娜, 王德军.一种网页防篡改的系统模型[J].武汉大学学报 (理学版) .2009 (01)
[2]邬延辉, 陈征, 龚松春.一个集群文件系统的虚拟化支持平台研究与实现[J].电信科学.2012 (09)
[3]张瑞祥, 王鹏宇.电子政务系统中信息安全技术应用探讨[J].电子技术与软件工程.2015 (07)
[4]王磊.浅析新时期电子政务系统的规划、设计和管理[J].电子技术与软件工程.2014 (16)
网页防篡改 篇2
网站的安全受到多种因素的影响, 常见的如服务器所在的操作系统漏洞、部署的网站文件的漏洞等, 都会导致网站安全受到威胁, 严重时甚至导致站点瘫痪, 导致网站面目全非。对于一个网站, 其需要保护的核心便是是网页文件, 一个中小规模的网站的相关文件达到数百上千是很正常的, 如果通过管理员定期人工比对各文件的一致性也即是否被篡改, 从而来进行防护, 不但可操作性不强, 也不能达到及时有效保护的效果。许多网站管理员, 经常抱怨自己的站点即使经常做安全维护, 但站点的一些关键文件如index.html、inedx.asp、conn.asp以及js文件被修改, 被添加恶意链接。
1 国内外研究状况
当前大部分研究论文和产品文档中都会提到以下四种技术:
(1) 定时循环扫描技术 (即:外挂轮询) :使用程序按照用户设定的时间间隔, 对网站目录进行定时扫描比对, 如发现篡改, 就用备份进行恢复。
(2) 事件触发技术:使用程序对网站目录进行实时监控, 当有对文件的属性, 大小等修改时就进行检查是否是非法篡改。
(3) 核心内嵌技术 (即“数字水印”或“数字指纹”) :在用户提交访问网页的请求之后, 在服务器正式提交用户请求网页内容之前, 对网页进行完整性检查, 一般也是通过散列值对比的方式。
(4) 文件过滤驱动技术:采用系统底层文件过滤驱动技术, 拦截与分析IRP流, 此技术多见于Windows操作系统。
2 研究内容
我们的研究则没有针对以上任意一种特定技术, 而是从业务逻辑的角度对文件保护进行了研究, 内容包括监控、恢复以及告警, 主要内容如下:
2.1 对监控的研究
对监控的研究主要关注于两个方面:针对特定操作系统 (如Linux和Windows系统) 以及与平台无关的方法。
对于Windows操作系统而言, 在Windows实现文件监控有三种方法, 第一种是“虚拟文件系统驱动”方法, 如Windows下的Filemon。第二种方法是“HOOK API”方法, 即钩子技术。第三种方法是“消息机制”, 从Windows的文件通知消息获取系统的文件操作。
对于Linux系统而言, 像Linux文件系统安全监控软件Inotify-sync等, 可以使用Linux内核提供的Inotify特性, 让用户配置监控目录, 并且对不同的文件系统操作事件调用不同的事件处理脚本。
2.2 对恢复的研究
针对文件恢复, 单从恢复技术而言, 像常用的EasyRecovery这类专门的文件恢复软件功能特别强大。
它能恢复丢失的数据以及重建文件系统。主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。可以从被病毒破坏或是已经格式化的硬盘中恢复数据。但是从网站的文件文件还原角度来讲, 这类技术还是难以应用到网页文件防篡改系统中来。
2.3 对告警的研究
对于告警部分, 一般是形成日志来记录所造成的篡改以及恢复的情况, 以方便管理员查询, 可以通过电子邮件, 短信收发装置等远程通讯选择性地将结果通知管理员。
3 实现方案
综合以上三个模块的独立研究, 以及通过搜集各类产品进行功能, 价格的和设计原理的比较, 通过对国外和国内的产品特点认识。我们实现了本地网页防篡改的核心软件主要有如下三模块:
监测模块——利用计算MD5散列值来对要保护的文件内容进行实时的操作监测。
恢复模块——通过实时监测模块传入的参数决定对被改变的文件实施相应的恢复功能, 恢复可选择实时监控和定期扫描对已被非法修改的文件进行自动恢复和手动指定恢复模式, 并将所改变的文件属性及相关参数进行记录。
报警模块——具有告警信息显示, 同时形成篡改日志, 并将日志形成文件存储, 为用户日后查阅提供依据, 也通过电子邮件告知管理员。
软件将由使用者自主选择需要保护与监测的网页文件及文件夹, 软件自动扫描并对其进行消息摘要, 提供文件完整性保护, 保证页面被任意改变时可及时发现被篡改痕迹。在散列算法MD5得出文件摘要后对重要文件进行备份, 保存重要文件作为备份以供恢复时使用。软件允许使用者根据自身需要手动调整待扫描目录、文件摘要与备份存储路径, 以便对文件进行即时扫描检测。
当文件遭遇删除时, 管理者可以根据软件先前对文件的备份进行手动选择恢复, 也可以通过软件提供的界面快速恢复;当出现恶意文件时, 管理者可以根据提示进行快速删除;当正常文件被篡改内容时, 可以根据备份文件的协助进行修改恢复。这一切检测都可以通过软件自行设定检测频率, 当异常发生时, 会有提示信息及时反馈给管理人员以便其根据实际情况进行处理。
正常更新时, 只需要每次进行更新网页内容时同时更新消息摘要即可, 这样既保证消息摘要值的不定期动态更新, 提高系统的安全性, 又使系统的更新没有冗余操作, 简单易行。
此外, 我们通过研究核心内嵌技术, 实现了简单的过滤器, 一方面在动态网站的请求发生时, 截获用户的请求, 对篡改进行实时处理, 使被篡改的页面不被用户看到, 另一方面也集中对服务端的网站目录进行监控, 对发生的改变进行记录。这样做的好处是在测试时, 用户永远无法看到被篡改的页面, 而对于本地防护而言, 用户在浏览器端还是有可能看到被篡改页面的缓存。
4 结束语
随着信息化建设的不断发展和提高, 许多部门机构的业务数据都通过门户网站开展业务, 个人或小集体通过建站来进行产品宣传推广也往往通过网站的形式来发布信息。因此保护Web应用系统安全变得越来越广泛。在现有网站安全防护的基础上部署网页防篡改系统, 采用低成本有效的防篡改系统, 不仅可以多一层保障, 同时, 网页防篡改系统详细的日志信息也为我们日常的安全维护工作提供帮助。一旦发生安全事件, 防篡改系统还将为之后的调查取证工作提供有价值的线索和依据。
尽管网页防篡改系统能进一步提高网站的安全, 但仍然存在一些缺陷, 需要不断的研究实践加以改进。
摘要:目前, 从公司企业, 政府机关, 到个人信息发布, 采用网站的形式成本低而且非常方便。但是网站被篡改的现象也经常发生, 作者所在的校园网就会经常遇到页面被篡改, 如在正常页面中加入不法链接等篡改事件发生。通过国家互联网应急中心发布的网站篡改资料以及对一些门户网站的篡改检测, 发现网页被篡改现象依旧普遍存在, 这在近年的学术研究上是很大的热点。在实际经济活动中, 各种防篡改产品层出不穷, 但也存在价格千差万别, 产品安全性参差不齐的现象。通过对现有热门产品的使用研究, 对现有研究论文成果的总结, 归纳出网站防篡改中应该关注的三方面:对网站文件的监控, 对篡改的恢复以及告警, 同时提出对策和建议。
关键词:网页防篡改,监控系统,恢复,告警
参考文献
[1]陈小兵, 范渊, 孙立伟.Web渗透技术及实战案例解析[M].北京:电子工业出版社, 2012.4.
[2]Noah, Inotify, FAM, Gamin[EB/OL].http://www.noah.org/wiki/Inotify, _FAM, _Gamin, 2010.4.
[3]孔辉.一种网页防篡改系统的设计[D].北京:北京邮电大学, 2011.
[4]王茂昌, 黄甜, 王普彪, 赖培辉.网站安全性研究[J].安阳师范学院学报, 2011.
[5]赵莉, 邓峰.基于核心内嵌技术中安全散列函数的探讨[J].科技信息, 2012-12.
网页防篡改 篇3
网站安全防护可以从两个大方面入手:(1)外部安全防护,主要是针对来自网站外部的攻击,占用大量的带宽资源,造成服务器响应速度急剧下降,严重可造成网站瘫痪,例如比较出名的DDOS攻击,SYS FLOOD洪流攻击等,此外还有DNS域名劫持等;(2)内部安全防护,从网站自身做安全防护,防护网页内容被篡改、图片篡改等。介绍一种从内部防护网站安全的技术,即网页防篡改系统,从不同的系统级别对网站内容进行保护。
在操作系统层面,Linux操作系统本身所具有的原生开放性和优异的性能,使其为大多数门户网站青睐,大部分提供Web服务的网站都运行在类Linux系统上,Red Hat、Cent OS。在提供Web服务开源软件中,除了有熟知的Apache Httpd,还有源自于俄罗斯开源社区的Nginx,这两款Web Server无论在稳定性、并发量以及安全性扩展上都为开发人员提供了很多便利的接口。与此同时,Apache HTTP和Nginx为用户提供了灵活多变的接口用于处理来自外部的请求和回复,这在一定程度上能够为网站管理人员提供多级防护的接口。在开源社区中也有不少为Apache Httpd提供的专业安全防护模块,例如具有综合防护功能的mod_security和针对拒绝服务攻击的mod_evasive,网站管理员通过阅读模块使用手册,通过添加一些符合条件的规则,即可将安全防护规则加载到在线网站,提供实时服务。
2 被动防护
利用HOOK技术,从两个层面入手,即用户层和系统内核层面,拦截请求服务继而挂载自己需要的安全检查程序,从而达到安全防护的目的。
如图1所示,提供HTTP服务的Apache Httpd的基本架构,方框内的构件为基础结构,椭圆内的构件是辅助结构。而从用户层面采用的HOOK,就是要从这里的Module入手,拦截分析用户请求(Http Request),实时监测用户所要访问的页面是否被篡改。
如图示2所示,网站管理员通过CMS系统,将要发布的网页内容同步到CMS DATA CENTER,随后通过Rsync文件同步系统,将对应的目录映射到Web Server,同时将所有网页内容对应的水印值本别保存在DATA CENTER和Web Server上。可以看出,网站管理员对Web Server上内容发布以间接控制为主,通过中间层DATA CENTER,有效降低管理员误操作几率。
如图示3所示,当用户访问服务器内容时,首先检查需要返回给用户的网页静态元素水印值(MD5)是否于本地数据库中的是否一致:如果水印值一致,将现有的网页内容返回给用户,网页访问正常;如果水印值不一致,则首先将准备好的警告内容返回给用户,提示在若干时间后再次访问网站,其次再向CMS数据中心发出请求,将被篡改的网页元素从CMS同步覆盖本地内容,同时更新水印值(MD5)。这样可以避免将被篡改的网站内容流出,造成不可挽回的影响。被篡改的网页自动恢复完成之后,正常的网页就可以继续被访问。
如图4所示,当用户访问的网页元素是被篡改过的,则首先返回给用户警告网页,提示用户稍后访问。同时,向CMS发出请求覆盖被篡改的元素更新元素对应的水印值(MD5),并给用户以短信或者邮件的方式发出警告,网页元素可能被篡改了。
3 主动防护
基于Linux System Call Hook技术的文件访问防护技术,在Linux系统中通常有两种中断,硬中断和软中断,分别对应外部硬件设备产生的中断和内部信号产生的中断。而在Linux开发中经常使用的系统调用(System Call)属于软中断范畴。
通常情况下调用系统接口的流程:
(1)用户空间向内核发出int 0x80的中断信号。
(2)当系统内核接收到该信号,首先使CPU运转模式由用户态转为内核态,寻找对于用该中断号的处理程序,在这里需要的是System Call Table.
(3)每个系统调用接口都会对应一个数字,而该数字又可以作为索引,在系统调用表中寻找相应的系统调用接口。
(4)系统调用所需的各种参数,将会以字符串和数字的形式存于某个通用寄存器内部。
(5)在内核空间内完成系统调用,例程结束后CPU运转模式由内核态转为用户态。
大致了解在Linux内部的系统调用流程之后,开始介绍目前非常流行的Hook技术。
如图5所示展示通过监控白名单中提供的PID和目录名,在底层文件系统监控所有文件事件。主动防御主要是指,通过Linux Dynamic Module Loaded技术,动态加载内核模块。模块内部通过Hook技术,将所有跟文件事件相关由用户态发起的调用,进行一一拦截检查,并将由用户进程调用的函数路径参数和该进程的PID保存,与用户态提供的目录白名单和进程号白名单进行一一对比。如果发起该文件事件的目录在白名单,而PID不在白名单中,则认为此次事件为非法,拒绝此次文件操作行为。通过hook文件系统中的关于文件事件的系统调用,可以从根本上杜绝对监控目录的非法篡改。netlink提供了在用户态和内核态之间双向通信媒介,由用户态将监控目录传递给内核态,由内核态将告警信息传递给用户态。
4 结语
在Linux平台下,利用Apache Httpd和Linux系统的动态模块加载特性,从外部被动防护到内部主动防护,保障网站安全运行。通过实验运行,在不影响网站运行速度的情况下能够安全稳定地维护网站运行。未来在确保现有平台安全、稳定和高效运行的情况下,可以在Web Server软件和操作系统平台扩展性上做一些努力和尝试。
参考文献
[1]Nick Kew《The Apache Modules Book:Application Development with Apache》,2010.
网页防篡改 篇4
关键词:核心内嵌,散列函数,篡改,网页保护,jetty解析
0前言
随着互联网技术的快速发展,Web1.0,2.0,3.0等网站的技术日新月异,吸引着越来越多的网民,政府、企事业单位的办公系统,也从最早的C/S模式演变成了现如今的B/S模式,因此网站在信息发展中起到了重要的作用,已经渗透到了各个角落,根据CNNIC调查报告显示,截至2006年1月,我国的上网用户总数高达1.1亿,国内网站数量达67万,庞大的网民数量和网站群为互联网应用的快速发展奠定了良好的基础。网页的地位也得到了空前的提高,对一个企业,对一个政府机构网页无异于自己的门面。据CNCERT报告,CNCERT/CC2007年监测到中国大陆被篡改网页总数累积达61228个,较2006年(24477个)增加了150%,2008年CNCERT/CC监测到中国大陆被篡改,网页总数累积达53917个,较2007年下降了11.9%,但较2006年增加了120%,即平均每天约有147个网页被篡改,由此网页防篡改在目前的形势下,是迫在眉睫。
1 网页的Web服务器现状分析
我国国内目前运行网页的Web服务器,主要有三大类,第一是基于Microsoft的IIS的Web服务器产品,有IIS5.0,IIS6.0等,第二是符合Sun公司的J2EE标准的各类Web服务器,比如WebSphere,WebLogic,Tomcat,GlassFish等,种类比较繁多,第三类则是基于Apache的PHP类的Web服务器,由于第一种的Web服务器,只能运行在Windows系列的平台,而且本身Windows操作系统的稳定性、安全性方面有着诸多诟病,所以在政府、企事业单位使用率并不高,第三种PHP类的Web服务器,在支持大型应用,分布式集群式的部署,以及异构系统之间的数据交换等方面,有明显的不足,因此PHP类的Web服务器,目前也仅局限于个人的建站、个人的论坛交流方面。因此,目前在政府、公安、电信、银行等企事业单位,主要运行的Web服务器,还是基于J2EE标准的,以IBM公司的Websphere,Oracle公司的WebLogic为主流,运行的操作系统平台有AIX,HP-Unix,SCO-Unix,Linux,Solaris等,本文利用Apache的Jetty解析库,设计和实现了保护运行在符合J2EE标准的Web服务器下的网页文件,能够实时发现网页的篡改、并能恢复被篡改的页面和并且及时告警通知相关网站管理人员。
2 网页防篡改技术简介
防篡改技术中,最核心的是网页监控技术,即如何及时发现被篡改的网页,目前主要的监控技术有外挂轮询、事件触发、核心内嵌等:
(1)外挂轮询
利用一个网页读取和检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复,这种技术的缺点不言而喻,如果Web服务器上的网页文件很多,像政府、银行等企事业单位的一些大型门户网站,历年累积下来的文件就有好几个G,加上一些视频、音频、图片等的文件,甚至有几十个G,那么把所有页面轮询读取完毕,是一个很耗时间,也很耗系统资源的工作,而且,在检测间隔的过程中,被篡改的文件,还是可以被用户访问到,因此这种技术目前基本被淘汰。
(2)事件触发
事件触发机制,主要是利用操作系统的文件过滤驱动,由底层操作系统检测到文件被篡改的动作,对网页的合法性进行检查,这种技术,虽然实时、高效,但是研发的成本和风险比较大,对目前各种操作系统的版本都需要进行相应的研发、测试,比如AIX,HP-Unix,Solaris等各种版本,甚至有些32位,64位的,有些系统还有RAID的存储等,复杂性可想而知,一不小心,就会出现整个操作系统崩溃,死机,造成的损失和后果可能是致命的。
(3)核心内嵌
将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复,根据Web服务器的类型,有相应的内嵌技术,如ISAPI,Apache-Module,Java的filter等,运行符合J2EE标准的服务器的Web内嵌技术,就是采用Java的filter技术,这种检测技术,完全与Web服务的运行进程融合,处理效率高,稳定性和兼容性强,而且与操作系统及硬件无关,全面控制Web系统软件和服务。
运行在符合J2EE标准的Web服务器上的网页程序,都是采用Java技术开发的,Java由于其良好的面向对象的特性,以及强大的开源力量的支持,在开发B/S架构的系统中,变得灵活、高效、快速,各种基于开源组件的开发技术,例如Struts,Spring,Velocity,Hibernate,Ibatis等,使得系统的可扩展性、兼容性和易用性方面有了很大的提高,但是同时,也带来了网页防篡改的核心内嵌技术中,Java的filter的内嵌解析URL的复杂性,例如,用户在浏览网页的时候,输入了这样一个URL地址,http://192.168.1.110/test/show_page.action,核心内嵌程序能够捕获到这样一个URL地址串,但是把它解析成Web服务器上具体的物理文件的地址(比如实际访问的是test.jsp这个物理文件),变得困难,因此,本系统采用Jetty的解析库,让Jetty去解析J2EE的应用,从而把URL映射成实际的物理文件。Jetty是一个开源的servlet容器,它为基于Java的Web内容,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和Web连接。使用Jetty解析的最大好处是,符合J2EE应用规范、小巧、快速。
3 系统设计
3.1 系统功能组成
整个系统主要分为备份监控管理中心、Web内嵌模块、Web监控代理组成,如图1所示。
(1)备份监控管理中心
管理中心的服务器是放在内网,是可信任的,它提供Web服务器上网页文件的原始备份,用于网页文件被篡改后的恢复,同时也提供管理员的使用界面,使用功能包括:手工上传文件、查看告警、监控防篡改系统的运行情况、修改各种配置、查看和处理各种日志等。
(2)Web内嵌模块
对每个发送的网页进行URL的捕获,并且把捕获到的URL发送给Web监控代理,接收Web监控代理传过来的状态值,来决定网页的显示或阻断,并依照一定的策略进行网站的关闭或者软件型的By Pass功能,确保在各种异常的情况下(比如Web监控代理被误操作关闭),网站能够正常访问。
(3)Web监控代理
对于每个Web内嵌模块的URL,通过Jetty解析模块,解析成物理文件,并且和自己本身的安全水印库进行对比,如果网页正常,则通知Web内嵌模块正常显示,如果网页被篡改,则通知Web内嵌模块对页面进行阻断,同时,Web监控代理及时从备份监控管理中心取得该文件的原始备份。系统的整个流程,简要地描述了网页防篡改的实现原理和工作流程,如图2所示。
3.2 系统技术要点
(1)Hash函数
目前文件的完整性检查,主要利用Hash函数,生成文件的水印值,然后进行比对,MD5算法是普遍采用的方法,但是MD5算法在面对大文件的时候,比如视频、音频文件,计算水印值比较耗时间,因此,本系统改进了Hash函数,采用基于策略的水印生成算法,该策略通过判断文件的后缀名、文件的大小来决定是否需要对全部的,还是部分的文件运用Hash函数的算法,例如,对超过100M的视频文件,则我们只需要利用二进制流,读取文件的前1024个字节进行比对,因为视频文件本身有严格的文件头格式和视频数据流格式,要想只通过更改里面的二进制数据,把视频文件里面的内容完全更改成另外一个内容,一般是不太可能,因此,这种技术兼顾了性能和安全性,达到一种良性的平衡。
(2)Jetty解析技术
我们需要修改Jetty源代码,通过在WebAppContenxt里面,添加我们自定义的Handler,实现把URL的地址解析成实际的物理文件的路径,同时也对Jetty解析库的一些功能模块进行了裁剪,把不需要的功能模块尽可能地精简,降低系统整体的资源占用。
(3)自定义的安全传输协议
备份网页的安全传输,以及本身各个模块之间的安全通信是系统安全的一个重要环节,本系统结合了高安全强度的工业标准的SSL协议,并对FTP协议进行了扩展,保证了信息在传输过程中完整性和私密性,用先进的密码技术防止来自内部和外部的篡改和偷窃,同时也保证了系统的稳定性和良好的兼容性。
4 结束语
本系统采用的基于Jetty的网页防篡改技术,针对目前主流的符合J2EE标准的Web应用服务器上的网页文件,通过对网页流出文件的实时监测,及时地进行文件完整性检查,并能够对文件的异常变化进行修复、还原和告警,可以广泛应用于政府、银行、运营商等企事业单位的门户网站、电子政府系统等。
参考文献
[1]姚莹,陆建新.网站文件保护系统的研究与实现.计算机工程与设计.2007.
[2]CNCERT/CC.中国互联网网络安全报告(2008年上半年).[R].北京:国家计算机网络应急技术处理协调中心.2009.
[3]CNCERT/CC.2007年网络安全工作报告[R].北京:国家计算机网络应急技术处理协调中心.2008.
如何防治网页篡改现象 篇5
关键词:网页,篡改,保护,技术
1 概述
随着网站的迅速增长, 随之而来的安全问题也日益突出, 针对网站主要表现手段的网页攻击也越来越多, 已经成为危害最为严重的网络安全问题。黑客攻击和计算机病毒主要破坏网站的完整性和可用性, 其通过对主页进行篡改以及盗取系统文件、修改系统文件, 伺机影响其他用户。
2 网站安全保护技术和方法
2.1 人工对比检测。
该种对比检测的方式从本质上讲即由专门等管理人员对网络系统进行监控, 并保护受保护网站的安全, 一旦出现篡改现象。若出现网页篡改现象, 则必须对其进行还原以及修改。其实该种方式不能够算是网页防篡技术, 只能算作一种手段, 用于网页的防篡。但是该种方式所取得的效果还是同现实具有较大的差距。该种属于最原始的方式, 并且工作效率较低。首先不提成本问题, 单单从人力监控方面讲, 该种方式无法及时的对网页篡改现象予以制止、了解, 也无法第一时间对篡改网页进行修改。若网页被篡改后管理员发现该问题时, 很多访客已经访问了该页面。
2.2 时间轮询。
该项技术又被叫做外挂轮询, 原始的网页篡改预防检测主要依赖于人力检测, 但是该项技术打破了这一常规的检测手段, 而以一种新的自动化的形式对网页防篡技术予以革新。
该项技术的原理是通过网页检测程序, 对被监控网页进行轮询读取, 网页的内容是否完整则是通过轮询结果同实际网页情况进行对比得出, 从而达到网页的防篡预警以及网页恢复的目的。不过该技术在对网页进行监控的过程中, 会在每个网页的检验上存在一个时间间隔, 即扫面间隔。一般这一间隔时间能够达到数十分钟, 而在这一间隔中, 黑客仍旧有机会继续攻击系统, 并令被篡改网页受到访问。该技术的应用较为适合一些访问以及应用较少的网页防篡中, 即过去访问量少, 并且网页应用也不多。并且随着网页制作复杂程度的提升, 通过该技术对网页进行检测扫描会耗费更长的时间, 且系统资源利用较多, 因此该项技术在逐步的被新技术所取代。
2.3 核心内迁嵌。
平常所说的密码水印技术即核心内嵌, 该项技术首先会将网页的内容进行加密, 且加密的方式具有非对称性, 当对该内容进行访问时则需要通过加密验证, 验证通过后对内容再次进行解密, 继而发布。若验证未通过, 则发布被拒绝, 对备用网站文件进行调用, 经过解密后予以发布。事件触发机制是该项技术需要用到的, 只有经过触发, 对文件属性进行对比后才能予以访问, 例如对大小的对比以及页面生成时间的对比等。同外挂轮询技术相比其安全性得到了有效的提高, 但是仍旧存在不足之处, 即服务资源会被加密计算占用很多, 系统的反映速度会受到影响。
该项技术对轮询间隔这一事件轮询技术无法避免的缺陷予以有效的规避, 但是该技术会对所有的网页在流出时进行完整检查, 因此会令系统资源被大量的占用, 加大了服务器负载。另外也更改了网页的发布正常流程, 需要重新构架网页, 并利用新服务器在网页发布中发挥作用。
2.4 文件的过滤驱动。
该种技术的初始应用阶段主要在军方以及一些高度机密系统中被应用, 主要作用是审计以及对文件的保护, 后来被一些好事者用于流氓软件中, 可以说该项技术的应用优劣各有一半。后来在网页篡改的预防中该项技术得到了发展和应用, 并发挥其重要的作用。在网页的篡改预防中, 该项技术的安全性、高效性以及便捷性得到了一致的认可。
3 防篡改安全防护功能
3.1 网页文件的安全保护。
网页的文件可以通过文件保护这项功能实现动态的实时的保护, 若访问为非法的未授权访问则会进行拦截, 以此避免受保护的文件受到非法用户的恶意删除以及篡改, 保证网页文件保持完整。这项保护功能的实现, 需要由网站维护人员以及相关管理人员事先进行设置, 通过保护策略对某一目录进行保护属性的设定, 从而使得网站该目录下的文件受到保护, 不经过特殊的授权对其无权进行删改。并且若增加、删改操作属于未授权操作, 这里包括修改文件的命名以及属性、移动文件等操作, 系统会自动发出警报。
3.2 网络攻击防护。
黑客还可以利用多种工具对网站进行攻击, 这些攻击包括: (1) 利用网站应用漏洞使用SQL注入或跨站攻击等方式, 获得系统或数据库管理员权限, 从而达到网页篡改或破坏网页的目的; (2) XSS攻击, 即跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码, 当用户浏览该页之时, 嵌入其中Web里面的html代码会被执行, 从而达到恶意用户的特殊目的; (3) 利用病毒、蠕虫、木马和间谍软件等恶意代码, 破坏系统利用系统漏洞; (4) 使用缓冲区溢出方式获得管理员权限, 从而任意修改网站内容, 窃取信息; (5) 利用Do S、DDo S等方式, 造成服务瘫痪。所以需要对网站进行攻击防护, 防护的手段有多种, 比如防火墙、IPS、防病毒软件等。
3.3 双击热备。
网站系统采用双机进行热备, 从而提高系统的稳定性和可靠性。两台为主机和从机, 在主机工作的同时, 从机处于实时监控主机的工作状态, 当主机因不可抗力而工作异常时, 从机能够及时发现问题并立即接替主机的工作, 并发出报警通知网络管理员。
同时, 用户可以通过的备份服务器, 在不停止备份功能的前提下, 自动更新网页, 备份服务器与网页内容发布系统无缝集成, 内容发布系统可以将内容直接发布到备份服务器, 备份服务器会自动将这些内容更新到Web服务器上。
3.4 屏蔽内容。
若在内容页或者主页关键词上出现敏感性内容时, 系统就会对该网页实行屏蔽处理, 那么对于该特殊内容页用户是无法进行正常的访问的, 从而保证受到影响的网页不会被访问。
结语
文章主要针对网站篡改的防护以及相关篡改技术予以讨论, 通过对篡改方式以及防止措施的介绍, 对网站安全性的提高提出了相关意见, 以期能够为网站运行的安全稳定提供助力。
参考文献
[1]张领, 刘胜珍, 杨晓华.校园网页被篡改的研究与防范[J].电脑知识与技术, 2008 (34) .
[2]杨勇.一种动态网页保护系统的设计与实现[J].办公自动化, 2011 (08) .
多层次网站防篡改技术研究 篇6
根据国家互联网应急中心 (CNCERT/CC) 的中国互联网网络安全态势报告可知, 我国网站被篡改的数量达到36000多个, 其中涉及政府网站高达2800多个, 除政府网站外, 银行、工业控制系统的安全性同样也受到威胁, 而部分个人的信息网站更是黑客攻击的主体。
2 网站防篡改技术发展阶段
第一, 人工对比检测。派专人负责监控、管理网站, 发现异常, 以人工方式将其复原。这种方法花费精力较大, 且实时性极差。第二, 外挂轮询技术。该技术实现了自动化检测, 利用网页检测程序对网站实施保护, 将网站与备份进行对比, 查看其完整性, 当网站被篡改后可发生报警, 并对其进行自动回复。该技术实时性仍存在较大局限性, 且Web服务器负载过大, 无法对动态网页进行有效保护。第三, 核心内嵌技术。相对于外挂轮询技术, 在安全性方面有了提高, 这种内嵌技术在网页最终交付给用户前进行截查和检测, 保证网页不被篡改。该技术稳定性高, 处理效果好, 但对服务器形成的负担过重。第四, 事件触发技术。将篡改检测的核心技术植入到Web服务器中, 当被保护的网站发生添加、删除或修改操作时, 根据预先设定的规则对篡改操作的合法性进行判断, 若为非法操作, 监测程序发出警告, 并对网页进行恢复。该技术实时性较高, 反应快, 减少了内存和CPU的占有率。
各类技术的性能可参见表1。
3 多层次防篡改系统构建
3.1 技术选择
由表1中各项技术的性能对比可知, 外挂轮询技术的服务器负载较高、响应时间短、安全性能较差, 无法满足现代防篡改系统的技术要求;而其他两种技术在各个方面各具特色, 互有优势, 因此可将两种技术相结合, 开发具有多层次、高性能的防篡改安全系统。
3.2 系统功能需求分析
多层次防篡改系统可实现的功能有:监控受保护网站下的文件, 防止SQL注入和XSS攻击功能、篡改后及时恢复功能、网站文件备份功能、遭篡改后的实时报警功能、日志与审计功能、分布式监控和集中式管理的功能。
3.3 多层次防篡改系统结构
根据逻辑部署位置和功能的不同, 多层次网站防篡改系统可分为监控端 (Agent) 和管理端 (Sercer) 两部分。各部分模块划分及结构之间的关系, 可参见图1。
根据图1可知, 多层次防篡改系统改变了以往单个系统分别部署防御的模式, 改为由Server管理端集中管理。
而Agent端则主要起到保护、监控、备份与恢复的功能。其中事件出发模块对网站文件的改变进行监控, 对不同的行为进行判断, 然后采取相应的恢复措施, 是保护网站的重要手段;核心内嵌模块对流出服务器的网页进行过滤, 检查网页的完整性, 是事件触发模块不可获取的补充;而防注入模块、黑白名单模块等均从不同的角度为网站提供全方位的保护措施。
Agent端的几个模块构成了事前预防、事中监控、事后拦截的三层防御系统。当含有注入攻击的请求到达服务器时, 首先由注入模块对其进行检测, 若检测证实请求为恶意请求时, 对其进行有效拦截;如果黑客使用其他技术或绕过防注入模块的监控时, 事件触发模块仍可对其恶意请求进行监控, 一经发现恶意篡改, 即可做出恢复网页的反应 (当前的反应速度已经提升至毫秒级) 。若侵入者绕过事件触发模块的监测, 核心内嵌模块则会继续发挥其保护功能, 避免受损害的网页被用户访问。
3.4 功能测试
对防注入模块、事件触发模块以及核心内嵌模块的安全保护功能进行测试, 以防注入功能测试为例进行详细说明, 具体测试方法如下:从网站前台的64处交互输入框中, 选择其中的47处, 分别在关闭防注入功能和开启防注入功能中输入正确数据和带有SOL注入攻击 (或XSS攻击) 的数据。结果如表2所示:
4 多层次防篡改系统评价
多层次防篡改系统的分布式部署和集中式管理, 可大大简化工作人员的工作强度, 采用的多种技术可对网站进行事前、事中和事后三层防御;系统通过Filter技术, 对网站服务器遇到的请求进行检测, 过滤其中的非法注入和攻击, 以事件基础技术为基础, 对网站内所有的文件进行监控;而核心内嵌技术则是整个系统的最后一层安全保障, 从而最终阻止遭篡改的文件流出服务器。该系统的利用, 使网站安全得到了有效保障, 但其在具体的实施过程中, 仍存在一系列问题, 需要进一步改进和优化。
摘要:本文就网站安全保护技术进行相关探讨, 并利用现有的防篡改技术构建了多层次网站防篡改系统, 实验证明, 该系统对网站的保护功能得到了大幅度提升。