【附】各种网页防篡改技术比较

网页防篡改试看三强争霸天下注：UnisGuard（北京国舜） InforGuard（济南中创）iGuard（上海天存）日前，一份来自国家互联网应急中心的报告显示，从5月10日开始的，至5月16日一周时间内，中国境内有81个政府网站被篡改。

至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中不仅包括分别位于安徽、江苏、四川和西藏自治区的4个省部级网站，甚至还有25个地市级政府网站也遭到攻击。

由此可见，政府网站的安全意识和安全措施有待加强。

此次81个政府网站遭到攻击，再次敲响了网络安全警钟。

政府门户网站作为国家的行政管理机构发布的信息事关国计民生，一旦被篡改将造成多种严重的后果，主要表现在让政府形象受损，影响信息传达，甚至是恶意发布信息，还会造成木马病毒传播，严重者还会引发泄密事件。

互联网的无疆界性，不仅让电子政务遭受安全隐患，在电子商务尤为明显。

网页被篡改的后果是严重的，站点所在的服务器的稳定性和安全性就成了关键因素。

好在，有以国舜UnisGuard为代表的三大网页防篡改保护系统保驾护航，给了我们打好政府网站保卫战的信心。

一、软件介绍1、UnisGuard产品概述UnisGuard网页防篡改系统（以下简称UnisGuard）是一款网站页面级防护产品。

UnisGuard 的主要功能是通过文件底层驱动技术对Web 站点目录提供全方位的保护，防止入侵者或病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。

UnisGuard 保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代网页防篡改系统。

UnisGuard网页防篡改保护系统于第十届中国信息安全大会中得到了中国计算机学会计算机安全专业委员会、国家计算机病毒应急处理中心、中国电子信息产业发展研究院的一致认可，并凭借在业界广泛的影响力和良好的口碑荣获“09年度中国信息安全最值得信赖网页防篡改品牌奖”。

网页防篡改措施引言在当今互联网时代，网页的防篡改措施变得尤为重要。

网页被篡改可能导致信息泄露、恶意软件传播等严重后果，对于企业和个人而言，都是巨大的威胁。

因此，采取有效的防篡改措施成为保障网页安全的关键之举。

1. 使用 HTTPS 加密连接HTTPS（HyperText Transfer Protocol Secure）是一种通过使用 SSL 或 TLS 加密传输数据的安全协议。

通过使用HTTPS，可以保护网页数据的机密性和完整性。

使用 HTTPS 可以有效防止黑客对数据进行篡改和窃取，因为数据在传输过程中被加密，传输过程中的中间人攻击被大大降低。

2. 使用数字签名数字签名是一种用于验证电子文档真实性和完整性的技术。

网页发布者可以使用私钥对网页进行数字签名，让用户使用相应的公钥来验证网页的真实性。

当网页被篡改时，数字签名会失效，从而提示用户网页内容可能被篡改。

3. 引入内容安全策略(CSP)内容安全策略 (Content Security Policy，简称 CSP) 是一种帮助网站管理员减少或防止那些存在安全风险的内容（如跨站脚本攻击XSS和数据注入等）的攻击的方法。

通过明确告知浏览器可信赖的内容来源，CSP 可以帮助网页防御恶意脚本的注入，并减少数据篡改的可能性。

4. 安全编码安全编码是指在开发网页时遵循一系列安全规则和最佳实践，以防止常见的安全漏洞。

例如，避免使用动态 SQL 语句，以防止 SQL 注入攻击；过滤用户输入，以防止跨站脚本攻击等。

安全编码的实践可以大大降低网页程序被攻击的风险。

5. 定期备份和监测定期备份网页数据是防止网页篡改的重要措施之一。

在网页被篡改后，及时恢复到最新一次备份的版本可以最大程度地减少损失。

此外，监测网页的变化也是重要的，可以及时发现网页被篡改的迹象并采取相应的措施。

6. 安全更新和修补程序及时更新和修补网页使用的软件和插件是防止网页被黑客攻击的重要步骤。

黑客通常会利用已知的安全漏洞来篡改网页或者进行其他恶意行为。

- 什么是web防篡改？
- Web防篡改是指通过一系列技术手段来保护网站或Web应用程序免受恶意篡改的影响，确保网页内容的安全性和完整性。

- 原理一：加密传输
- 通过使用SSL/TLS等安全传输协议，将网页内容在传输过程中进行加密，防止中间人攻击和数据篡改。

- 原理二：数字签名
- 使用数字签名技术对网页内容进行签名，确保内容的完整性和真实性。

只有拥有私钥的人才能对内容进行修改，对外发布的内容可以通过公钥来验证签名的有效性。

- 原理三：内容哈希
- 将网页内容进行哈希计算，生成唯一的哈希值，并将该哈希值存储在安全的位置。

当网页内容发生变化时，哈希值也会发生变化，可以通过比对哈希值来检测内容是否被篡改。

- 原理四：内容监控
- 使用专门的内容监控工具对网页内容进行定期扫描和监测，一旦发现内容发生变化，立即进行报警并采取相应的应对措施。

- 原理五：访问控制
- 对网站或Web应用程序进行访问控制，限制对内容进行修改的权限，只有
经过授权的用户才能对内容进行编辑和发布。

- 原理六：安全编程
- 在开发Web应用程序时，采用安全编程的规范和方法，避免常见的安全漏
洞和攻击手段，从根本上确保内容的安全性和完整性。

- 原理七：安全策略
- 制定和执行相关的安全策略，包括备份策略、紧急应对策略、风险评估等，以应对各种可能的安全威胁和篡改风险。

通过以上列举的原理，可以看出Web防篡改的方法多样，需要综合运用多种
技术手段和管理措施，才能够有效地保护网页内容免受恶意篡改的影响。

同时，随着互联网技术的不断发展，我们也需要不断更新和优化防篡改的方法，以应对不断变化的网络安全挑战。

如何实现⽹页防篡改最近想和朋友搞⼀个防篡改的东西,我⾃⼰罗列了⼀些,咨询下各位篡改⽹页的途径和相应的⽅法,⼩弟不才,不胜赐教.⼀、⽹页篡改的途径（1）SQL注⼊后获取Webshell：通过web应⽤程序的，通过SQL语句提交⾮法的语句到数据，通过系统以及第三⽅软件的漏洞获取web的控制权限或者服务器权限；（2）XSS漏洞引⼊恶意HTML界⾯：被动的跨站攻击可以在合法的地⽅引⼊⾮法的HTML或者JS代码，从⽽让访问者“正常”的改变页⾯内容；例如：校内⽹蠕⾍；（3）控制了Web服务器：攻击者可能通过服务器或者第三⽅的漏洞，获取了服务器权限、数据库管理权限进⽽修改页⾯；（4）控制了DNS服务器：攻击者对⽹站的域名服务器进⾏渗透，获取了域名的解析权限，改变了解析地址以达到篡改的效果；例如：百度被⿊事件；（5）遭遇了ARP攻击：攻击者可能会针对web服务器所在的外段进⾏攻击，当掌握了同⽹段某台机器以后对web服务器所在的主机发送ARP欺骗包，引诱访问者或者web服务器指向其他页⾯以达到篡改效果；⼆、⽹页防篡改的途径（1）给正常⽂件⼀个通⾏证；将正常的程序⽂件数量、名称记录下来，并保存每⼀个正常⽂件的MD5散列做成数字签名存⼊数据库；如果当遇到⿊客攻击修改主页、挂马、提交webshell的时候，由于这些⽂件被修改过或者是新提交的，没有在数据库中存在，则将其删除或者恢复以达到防护效果；（2）检测和防护SQL注⼊攻击；通过过滤SQL危险字符如：“’、select、where、insert、,、;”等等将其进⾏⽆害化编码或者转码，从源头遏⽌；对提交到web服务器的数据报进⾏过滤检测是否含有“eval、wscript.shell、iframe”等等；（3）检测和防护DNS攻击解析；不断在本地通过nslookup解析域名以监视域名的指向是否合法；（4）检测和防护ARP攻击；绑定MAC地址，检测ARP攻击并过滤掉危险的ARP数据报；（5）过滤对WEB服务器的请求；设置访问控制列表，设置IP⿊名单和⽩名单过滤掉⾮法访问后台的IP；对web服务器⽂件的请求进⾏⽂件预解析，对⽐解析的⽂件与原⽂件差异，存在差异的取源⽂件返回请求；（6）做好集群或者数据库加密；对于NT系统设置好⽂件夹权限，控制因操作失误所带来的损失；对于SQL 2005可以设置管理IP和数据库加密，切断数据库篡改的源头；（7）加强；加强安全意识培训，操作合理化培训，从程序⾃⾝的源头遏制，从管理员⾃⾝的源头遏制。

网页防篡改技术追踪一、网页被篡改的原因和特点黑客强烈的表现欲望，国内外非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的发泄等等都将导致网页被“变脸”。

网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多；复制容易，事后消除影响难；预先检查和实时防范较难；网络环境复杂难以追查责任，攻击工具简单且向智能化趋势发展；二、网页防篡改技术的发展历程四个过程：人工对比检测时间轮询技术以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

时间间隔大事件触发技术+核心内嵌技术比时间轮询时间间隔小，实时，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。

对每个流出网页都进行完整检查，占用巨大的系统资源，给服务器造成较大负载。

且对网页正常发布流程作了更改，整个网站需要重新架构，增加新的发布服务器替代原先的服务器。

文件过滤驱动技术+事件触发技术将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。

页面防篡改模块采用Web服务器底层文件过滤驱动级保护技术，与操作系统紧密结合，所监测的文件类型不限，可以是一个html文件也可以是一段动态代码，执行准确率高。

这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。

网页防篡改系列产品分析比较文档目录第1章产品概述 (1)1.1.I NFOR G UARD产品概述 (1)1.2. I G UARD产品概述 (1)第2章防篡改机制比较 (2)2.1.I NFOR G UARD四重防护 (2)2.2. I G UARD双引擎防护 (3)第3章功能比较 (4)3.1.监控与恢复 (4)3.2.发布与同步功能 (4)3.3.服务器联动 (5)3.4.备份 (5)3.5.日志及审计功能 (5)3.6.其他 (6)第4章资质比较 (7)4.1.I NFOR G UARD所获资质 (7)4.2. I G UARD所获资质 (7)图2-1 InforGuard独特的四重防护技术 (2)第1章产品概述1.1. InforGuard产品概述InforGuard网页防篡改系统（以下简称InforGuard）是目前国内唯一采用四重防护技术、既完全保护网站不发送被篡改的页面内容又保证网站内无被篡改页面滞留的Web页面保护软件。

InforGuard 的四重防护技术使其在防篡改理念、安全性及性能等诸多方面远远领先于同类产品。

InforGuard以国家863项目先进技术为基础，主要功能是实时监控用户的Web站点，洞察黑客、病毒等对网站的网页、电子文档、图片等文件进行破坏或非法修改。

一旦文件遭到破坏，系统会立即恢复被破坏的文件，并向管理人员报警。

它支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，支持IIS、Apache、Weblogic、WebSphere等主流的Web服务器软件。

1.2. iGuard产品概述iGuard网页防篡改系统（以下简称iGuard）是目前国内唯一能够完全保护网站不发送被篡改的页面内容的Web页面保护软件。

iGuard以国家863项目先进技术为基础，使得其性能和安全性大大优于同类产品。

iGuard支持网页的自动发布、篡改检测、警告和自动恢复，保证传输、鉴别、审计等各个环节的安全。

关于防网页篡改的讨论目前网站（包括网银）的网页之所以存在被篡改的可能性，有客观和主观两方面的原因：客观而言，因为存在诸如以下原因，现有技术架构下的网站漏洞将长期存在:●操作系统复杂性：已经公布超过1万多个系统漏洞●漏洞与补丁：系统漏洞从发现到被利用为5天，补丁发布时间为47天●应用系统漏洞：各种注入式攻击，多个应用系统不同的开发者。

主观原因而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现：●密码管理：合格密码需要8位以上复杂字符并定期改变●漏洞补丁：操作系统、中间件、应用系统的定期更新●上网控制：钓鱼、木马、间谍软件从目前防网页篡改技术上来讲，很多安全设备都具备一些简单的防网页篡改方面的技术。

一、网络安全设备很多系统都使用了安全网关、防火墙和入侵检测系统等网络安全设备来保护自身的安全。

防火墙是一种成熟和应用广泛的网络安全设备，但是网银web服务器通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放Web应用端口，这种方式对与Web应用没有任何的保护作用。

即使使用http代理型的防火墙，防火墙也只是验证http协议本身的合法性，完全不能理解http协议所承载的数据，也无法判断对http服务器的访问行为是否合法。

入侵检测技术也是工作在网络层，对应用协议的理解和作用存在相当的局限性，对于复杂的http回话和协议更不能完整处理，由于需要预先构造攻击特征库来匹配网络数据，入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击二、专业的网页防篡改系统目前市场上也有较多的专门防网页篡改的系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加下面是一些厂商的篡改检测技术分享：某厂商一：将web服务器在对外发送网页时，利用数字水印技术对其进行完整性检查，如下图：检查点：●Web服务器准备向用户发送网页（网页文件已读入，尚未投放到网络上）。

检查对象●静态网页文件（HTML/CSS文件）●图像文件（GIF/JPG/PNG/BMP文件）●动态脚本文件（ASP/JSP/PL/PHP文件）●多媒体文件（WAV/MP3/FLS/MPEG文件）●二进制可执行实体（CGI/DLL/EXE文件）●其他所有可以在URL中访问/下载的文件检查方式：●计算对象的数字水印，与水印库中的数据进行比较。

一、三种技术1. 外挂轮询技术外挂轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

2. 核心内嵌技术核心内嵌技术是将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

3. 事件触发技术事件触发技术是利用操作系统的文件系统接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

二、形象性描述如果我们把Web服务器看成是一个安全性要求很强的大楼，每个目录都是大楼的一个房间，每个文件都是房间里的某个物品，则以上三种防篡改技术可以形象描述为：1. 外挂轮询技术大楼配备了一个保卫人员进行巡逻，他不停地在每个房间里进行检查，发现有可疑物品即进行报警。

这种方式的显著弱点是：当大楼里有很多房间和很多物品时，他会忙不过来，毕竟巡逻一次要花费很长时间，这样给可疑物品的存在和流出带来很大机会。

2. 核心内嵌技术大楼在出口处配备一个保卫人员，他对每一个流出的物品进行检查，发现有可疑物品即阻止它的流出。

这种方式的显著弱点是：由于存在检查手续，物品在流出时会耽误时间；相应优点是，由于每个物品在流出时进行检查，因此可疑物品没有可乘之机。

3. 事件触发技术大楼在正门进口处配备一个保卫人员，他对每一个进入的物品进行检查，发现有可疑物品即进行报警。

这种方式的显著优点是：防范成本很低，但缺点是：通常大楼结构都很复杂，物品除了从正门外还有许多非法渠道进入，并且还随时不断有新的门路被发现。

另外，非法物品一旦混进了大楼，就再也没有机会进行安全检查了。

三、技术评估1. 访问被篡改网页外挂轮询技术：无法阻止公众访问到被篡改网页，它只能在被篡改后一段时间发现和进行恢复，因此公众有很大可能访问到被篡改网页。

核心内嵌技术：守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改的网页被公众访问到，真正做到万无一失。