《各种网页防篡改技术比较》由会员分享,可在线阅读,更多相关《各种网页防篡改技术比较(9页珍藏版)》请在金锄头文库上搜索。
1、一、网页防篡改产品的技术要求1Web应用的基本架构Web应用是由动态脚本语言(如ASP、JSP和PHP等)和编译过的代码等 组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求, 这些请求使用HTTP协议,经过因特网或内部网络与企业的Web应用交互, 由Web应用与企业后台的数据库及其他动态内容通信。尽管不同的企业会有不同的Web环境搭建方式,一个典型的Web应用通常是标准的三层架构模型,如图示1-1所示。图示一-1标准Web应用架构在这种最常见的模型中,客户端是第一层;使用动态Web技术的部分属于中 间层;数据库是第三层。用户通过Web浏览器发送请求给中间层,由中间层 将用户的
2、请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器 上展示给用户。2黑客篡改网页的手段网站的网页之所以存在被篡改的可能性,有客观和主观两方面的原因。就客观而言,因为存在以下原因,现有技术架构下网站漏洞将长期存在: Web平台的复杂性 操作系统复杂性:已公布超过2万多个系统漏洞。一个漏洞从发现到被利用平均为5天,而相应补丁的发布时间平均为47天。 Web服务器软件漏洞:IIS、Apache、Tomcat、Weblogic都存在大量的已知漏洞,同时每天都有大量的新漏洞被报出。第三方软件漏洞:由各类软件厂商提供的第三方软件存在各种漏洞。 应用系统漏洞:各种注入式攻击漏洞,多个应用系统不同的开
3、发者。就主观而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现: 密码管理:合格密码需要8位以上复杂字符并定期改变。 配置管理:严格的、细粒度的权限控管;严谨的报错处理;配置文件、系统文件的管理等等。 漏洞补丁 :操作系统、中间件、应用系统的定期更新。上网控制:钓鱼、木马、间谍软件。1 )传统安全设备Web网站通常使用了防火墙和IDS/IPS等网络安全设备来保护自身的安全,如图示1-2所示。IDS/IPS防火墙Web应用网页篡改上传木马DoS 攻击*恶意执行端口扫描应用服务器数据库服务器网络层 模式攻击已知Web 服务器漏洞注入式攻击Web服务器图示一-2传统网络安全设备网络防火墙提供网
4、络层访问控制和攻击保护服务,它们统一部署在网络边界 和企业内部重要资源(例如Web应用)的前端,提供必要的保护以防御网络 层黑客攻击。但是,网络防火墙规则集必须允许重要协议(如HTTP/HTTPS ) 不受限制地访问Web应用,即完全向外部网络开放HTTP/HTTPS 应用端口。 如果攻击代码被嵌入到Web通信中,则从协议角度来看这些通信是完全合法 的,而此时网络防火墙对此类攻击没有任何的保护作用。IDS/IPS入侵检测系统/入侵防御系统作为防火墙的有利补充,加强了网络的 安全防御能力。入侵检测技术同样工作在网络层上,对应用协议的理解和作 用存在相当的局限性,对于复杂的http会话和协议更是不
5、能完整处理。如果 需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统 出现的虚假报告率(对于入侵防御系统来说,会产生中断正常连接的问题) 会上升,同时,系统的效率会降低。一个最简单的例子就是在请求中包含SQL注入代码,这些数据不管是在传统 防火墙所处理的网络层和传输层,还是在代理型防火墙所处理的协议会话层, 或者是常规的入侵检测系统和增强的入侵防护系统,都会认为是合法的,无 法被阻挡或检出。2)专业网页防篡改系统由前面的描述可以看出,Web网站防篡改的核心工作包括:1 阻止对网页文件的篡改。2.防止非法网页和信息被访问。3 有效防御各种来自应用层的攻击,例如注入式攻击、跨站攻击
6、、非法上传、 身份仿冒等等。因此Web网站和Web应用系统除了使用一般的网络安全设备外,还需要有 效的网页防篡改系统来专门对页面内容和动态数据进行保护。二、实$技术比较目前,网页防篡改系统的相关技术有四种:外挂轮询技术。独立工作,从一台外部机器轮询监测目标网站的网页 完整性。主要保护对象为静态网页。 数字水印技术。作为Web服务器的核心内嵌模块在网页被浏览时进 行完整性检查。主要保护对象为静态文件和脚本。 事件触发技术。通过Hook、驱动或其他操作系统专有接口监测文件 系统的变化。主要保护对象为文件。 应用防护技术。通过Web服务器上的内嵌过滤模块接口监测HTTP 请求。主要保护对象为后台数据
7、库。外挂轮询技术由于效率低、覆盖检查面小、对目标网站影响大,目前在市场 上已很少使用,不再作讨论。以下仅讨论另外三种技术。字水印技术数字水印技术在文件发布时生成数字水印(HMAC单向鉴别散列值),在文 件每次被Web服务器访问(含执行)时检查数字水印,并对结果进行相应处 理。2 )实现使用Web服务器核心内嵌技术,该技术在不同的Web服务器上采用不同的 技术实现,与操作系统无关:IIS: ISAPI筛选器和扩展Apache: Apache-ModuleJava: servelet-filter(Weblogic/W ebsphere/tomcat/BAS/resin/JRun均为Java服务器
8、)3 )优点 每个被访问网页不加区分和实时地进行检查,确保防篡改的有效性。 以密码学为理论基础,实现了网络安全的目标之一-信息完整性,具 有可验证的可靠性。所使用的技术均为公开的和载入文档的技术,具有跨平台的可移植性 和未来的可维护性。 Web服务器核心内嵌模块,无独立进程。4 )缺点对服务器访问性能和资源占用有一定影响。并未在篡改时立即进行响应。部署时需要增加独立的发布服务器。 不能防范通过Web对数据库攻击。2事件触发技术事件触发技术用于保护文件系统中的文件,在文件被修改时辨别对其操作的 进程,如该文件不可修改或是不可信进程即对此行为进行拦截。2 )实现使用操作系统专有的文件驱动技术,在不
9、同的操作系统上采用不同的技术实 现,与Web服务器软件无关: Win dows:文件系统过滤驱动程序。 Linux: dazuko 。 Unix:无。专有代码不支持底层驱动。3 )优点对捕捉到的篡改行为能够进行及时报警。 对Web服务器访问无影响,对系统资源占用可以忽略不计。系统结构简单,部署方便。4 ) 缺点 基于文件系统的检查,可以有多种已知的方法绕过,例如:a)黑客可以通过计算文件所在硬盘存储位置的方法,直接写磁盘。b)W indows上的延迟写技术,重启一次操作系统即可更新文件。实现手段过于依赖于操作系统的特性,部分技术使用未载入文档技 术,具有不稳定性和不可升级性。检查时机单一,一旦
10、错过捕捉则没有任何防护手段。 不能防范通过Web对数据库攻击。3应用防护技术该技术对每个来自于网络的Web请求进行检查,根据已有的特征库判断是否含有攻击特性(目前主要是注入式攻击),如有攻击特性则立即阻止和报警。2 )实使用Web服务器核心内嵌技术,该技术在不同的Web服务器上采用不同的TERELsb技术实现,与操作系统无关: IIS: ISAPI筛选器和扩展 Apache: Apache-Module Java: servelet-filter3 )优点 能够防范已知的通过Web方式对数据库攻击。 从访问源头上防止网页篡改行为。4 )缺点 基于特征库的防范方式,只能防范已知Web数据库攻击手
11、段。 不能防范非Web方式的网页篡改手段,不能直接防范网页文件篡改。4 总结三种网页防篡改技术的对比总结见下表(表格2-1)数字水印技术事件触发技术应用防护技术保护对象文件文件数据库安全性高一般较高负载影响一般很低低部署一般方便方便表格二-1网页防篡改技术比较三、网页防篡改产品技术比较功能iGuardInforGuardWebGuard操作系统支持Wi ndows/Liu nx/Un ixWin dows/Li unxWin dows/Li unx技术原理核心内嵌技术为 主;事件触发技 术为辅;事件触发技术为主;核心内嵌技术为辅;事件触发技术可保护对象静态和动态网页静态和动态网页静态网页发布/恢复效率高较高低系统资源占用率CPU占用率:低;内存占用率:可忽略不计(v+0.001%);自身大小:极小CPU占用率:低 内存占用率:低 自身大小:大CPU占用率:高 内存占用率:高 自身大小:较大自动续传支持支持,但不稳定,存在丢失文件的情 况。不支持
