有声小说,有声小说在线收听网

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

Web安全產(chǎn)品分析之網(wǎng)頁(yè)防篡改產(chǎn)品

企業(yè)網(wǎng)頁(yè)如果一旦被篡改，其后果是難以預(yù)計(jì)的。不僅影響了正常的訪問，而且可能還會(huì)引起客戶信譽(yù)的丟失。防護(hù)未知攻擊是難的，但看好我自己的網(wǎng)頁(yè)是相對(duì)容易的。因此，人們最先想到的就是網(wǎng)頁(yè)防篡改技術(shù)，保持自己的網(wǎng)頁(yè)不受侵害，起碼對(duì)社會(huì)不會(huì)造成大危害。網(wǎng)頁(yè)被篡改產(chǎn)品出現(xiàn)在Web早期，幾經(jīng)風(fēng)雨，各廠家技術(shù)逐漸統(tǒng)一。

浦城ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書未來市場(chǎng)廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

網(wǎng)頁(yè)防篡改產(chǎn)品的部署：建立一臺(tái)單獨(dú)的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺(tái)Web服務(wù)器上安裝一個(gè)Agent程序，負(fù)責(zé)該服務(wù)器的“網(wǎng)頁(yè)文件看護(hù)”，管理服務(wù)器是管理這些Agent看護(hù)策略的。

a)第一代技術(shù)

把Web服務(wù)器主目錄下的文件做一個(gè)備份，用一個(gè)定時(shí)循環(huán)進(jìn)程，把備份的文件與服務(wù)使用的文件逐個(gè)進(jìn)行比較，不一樣的就用備份去覆蓋。網(wǎng)站更新發(fā)布時(shí)，則同時(shí)更新主目錄與備份。這種方法在網(wǎng)站大的情況下，網(wǎng)頁(yè)數(shù)量巨大，掃描一遍的時(shí)間太長(zhǎng)，并且對(duì)Web服務(wù)器性能也是擠占。

b)第二代技術(shù)

采用了Hash算法，對(duì)主目錄下的每個(gè)文件做Hash，生成該文件的“指紋”，定時(shí)循環(huán)進(jìn)程直接計(jì)算服務(wù)用文件的Hash指紋，然后進(jìn)行指紋核對(duì)，指紋一般比較小，比較方便;指紋具有不可逆的特點(diǎn)，不怕仿制。

c)第三代技術(shù)

既然網(wǎng)站上頁(yè)面太多，三級(jí)以下頁(yè)面的訪問量，一般使用呈指數(shù)級(jí)下降，沒人訪問當(dāng)然也不會(huì)被篡改，在這些頁(yè)面重復(fù)掃描是不劃算的。改變一下思路：對(duì)文件讀取應(yīng)該沒有危險(xiǎn)，危險(xiǎn)的是對(duì)文件的改寫操作。若只對(duì)文件被改變時(shí)才做檢查，就可以大大降低對(duì)服務(wù)器資源的占用;具體做法是：開啟一個(gè)看守進(jìn)程，對(duì)Web服務(wù)器的主目錄文件刪改操作進(jìn)行監(jiān)控，發(fā)現(xiàn)有此操作，判斷是否有合法身份，是否為授權(quán)的維護(hù)操作，否則阻斷其執(zhí)行，文件不被改寫，也就起到了網(wǎng)頁(yè)防篡改的目的。這個(gè)技術(shù)也稱為事件觸發(fā)防篡改。

這種技術(shù)需要考驗(yàn)對(duì)服務(wù)器操作系統(tǒng)的熟悉程度，但黑客也是高手，你的看護(hù)進(jìn)程是用戶級(jí)的，黑客可以獲得高級(jí)權(quán)限，繞過你的“消息鉤子”，監(jiān)控就成了擺設(shè)。

d)第四代技術(shù)

既然是比誰(shuí)的進(jìn)程權(quán)限高，讓操作系統(tǒng)干這個(gè)活兒，應(yīng)該是最合適的，黑客再牛也不可能越過操作系統(tǒng)自己“干活”。因此，在Windows系統(tǒng)中，提供系統(tǒng)級(jí)的目錄文件修改看護(hù)進(jìn)程(系統(tǒng)調(diào)用)，防篡改產(chǎn)品直接調(diào)用就可以了，或者利用操作系統(tǒng)自身的文件安全保護(hù)功能，對(duì)主目錄文件進(jìn)行鎖定(Windows對(duì)自己系統(tǒng)的重要文件也采取了類似的防篡改保護(hù)，避免病毒的侵?jǐn)_)，只允許網(wǎng)站發(fā)布系統(tǒng)(網(wǎng)頁(yè)升級(jí)更新)才可以修改文件，其他系統(tǒng)進(jìn)程也不允許刪改。

這個(gè)方法應(yīng)該說比較徹底，但可以看出，以后防篡改技術(shù)將成為操作系統(tǒng)的“專利”了，安全廠家實(shí)在是不愿意看到的。好在目前Linux還沒有支持。

網(wǎng)頁(yè)防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的都是保障網(wǎng)頁(yè)文件的完整性。

網(wǎng)頁(yè)防篡改對(duì)保護(hù)靜態(tài)頁(yè)面有很好的效果，但對(duì)于動(dòng)態(tài)頁(yè)面就沒有辦法了，因?yàn)轫?yè)面是用戶訪問時(shí)生成的，內(nèi)容與數(shù)據(jù)庫(kù)相關(guān)。很多SQL注入就是利用這個(gè)漏洞，可以繼續(xù)入侵Web服務(wù)器。

到目前為止，很多網(wǎng)頁(yè)防篡改產(chǎn)品中都提供了一個(gè)IPS軟件模塊，用來阻止來針對(duì)Web服務(wù)的SQL注入、XML注入攻擊。如國(guó)內(nèi)廠家的WebGuard、iGuard、InforGuard等產(chǎn)品。

當(dāng)前文章：Web安全產(chǎn)品分析之網(wǎng)頁(yè)防篡改產(chǎn)品
分享地址：http://m.fisionsoft.com.cn/article/dpgjhoi.html

新聞中心

其他資訊