网页防篡改
- 格式:docx
- 大小:63.96 KB
- 文档页数:3
关于如何防网页被篡改
目前网站(包括网银)的网页之所以存在被篡改的可能性,有客观和主观两方面的原因:(1)客观而言,因为存在诸如以下原因,现有技术架构下的网站漏洞将长期存在:
操作系统复杂性:已经公布超过1万多个系统漏洞
漏洞与补丁:系统漏洞从发现到被利用为5天,补丁发布时间为47天
应用系统漏洞:各种注入式攻击,多个应用系统不同的开发者。
(2)主观原因而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现:
密码管理:合格密码需要8位以上复杂字符并定期改变
漏洞补丁:操作系统、中间件、应用系统的定期更新
上网控制:钓鱼、木马、间谍软件
(3)主要篡改的途径有:
SQL注入后获取webshell
黑客通过web应用程序的漏洞,通过sql语句提交非法的语句到数据库,通过系统及第三方软件的漏洞获取web的控制权限或者服务器权限。
XSS漏洞引入恶意HTML界面
被动的跨站攻击可以在合法的地方引入非法的HTML或者JS代码,从而让访问者“正常”的改变页面内容,例如:蠕虫。
控制了web服务器
攻击者可能通过服务器或者第三方的漏洞,获取了服务器的权限,数据库管理权限进而修改页面。
控制了DNS服务器
攻击者对网站的域名服务器进行渗透,获取了域名的解析权限。
改变了解析地址已达到篡改的效果,例如:百度被黑事件。
遭遇了ARP攻击
攻击者可能会针对web服务器所在的外段进行攻击,当掌管了同网段某台机子以后对web服务器所在的主机发送ARP欺骗包,引诱访问者或者web服务器只向其他页面以达到篡改效果。
(4)对应的解决方案是:
给正常文件一个通行证
将正常的程序文件数量,名称记录下来,并保存每一个正常文件的MD5散列做成数字签名存入数据库,如果当遇到黑客攻击主页面,挂马,提交webshell的时候,由于这些文件被修改过或者是新提交的,没有再数据库中存在,则将其删除或者恢复已达到防护效果。
检测和防护sql注入攻击
通过过滤sql危险字符如:“‘,select,where,insert,、,”等等将其进行无害化编码或者转码,从源头上遏制;对提交到web服务器的数据报进行过滤检测是否含有“oval,wscript,shell,iframo”等等。
检测和防护DNS攻击解析
不断在本地通过nslookup解析域名以监视域名的指向是否合法。
检测和防护ARP攻击
绑定MAC地址,检测ARP攻击并过滤掉危险的ARP数据报。
过滤对web服务器的请求
设置访问控制列表,设置IP黑名单和白名单过滤掉非法访问后台的ip;对web服务文件的请求进行文件预解析,对比解析的文件与原文件差异,存在差异的取源文件返回请求。
做好集群或者数据库加密
对于NT系统设置好文件夹权限,控制因操作失误所带来的损失,对于sql2005可以设置管理IP和数据库加密,切断数据库篡改的源头。
加强培训
加强安全意识培训,操作合理化培训,从程序自身的源头遏制,从管理员自身的源头遏制。
目前防网页篡改技术上来讲,很多安全设备都具备一些简单的防网页篡改方面的技术。
我公司目前的拥有的技能有:
一、网络安全设备
很多系统都使用了安全网关、防火墙和入侵检测系统等网络安全设备来保护自身的安全。
防火墙是一种成熟和应用广泛的网络安全设备,但是网银web服务器通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放Web应用端口,这种方式对与Web应用没有任何的保护作用。
即使使用http代理型的防火墙,防火墙也只是验证http协议本身的合法性,完全不能理解http协议所承载的数据,也无法判断对http服务器的访问行为是否合法。
入侵检测技术也是工作在网络层,对应用协议的理解和作用存在相当的局限性,对于复
杂的http回话和协议更不能完整处理,由于需要预先构造攻击特征库来匹配网络数据,入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击
二、专业的网页防篡改系统
目前市场上也有较多的专门防网页篡改的系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加
下面是我公司的一个产品:
这是一钟采用水印技术来防止网页篡改的技术。
目前我司采用的防篡改技术如下:
1.定时循环扫描技术(即:外挂轮询):使用程序按照用户设定的时间间隔,对网站
目录进行定时扫描比对,如发现篡改,就用备份进行恢复。
2.事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查
是否是非法篡改。
3.核心内嵌技术(即“数字水印”或“数字指纹”):在用户请求访问网页之后,在系
统正式提交网页内容给用户之前,对网页进行完整性检查。
4.文件过滤驱动技术:采用系统底层文件过滤驱动技术,拦截与分析IRP流。