資源描述:
《【附】各種網(wǎng)頁防篡改技術(shù)比較》由會員上傳分享��,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、網(wǎng)頁防篡改產(chǎn)品比較一����、網(wǎng)頁防篡改產(chǎn)品的技術(shù)要求1.Web應(yīng)用的基本架構(gòu)Web應(yīng)用是由動態(tài)腳本語言(如ASP、JSP和PHP等)和編譯過的代碼等組合而成����。它通常架設(shè)在Web服務(wù)器上,用戶在Web瀏覽器上發(fā)送請求�,這些請求使用HTTP協(xié)議,經(jīng)過因特網(wǎng)或內(nèi)部網(wǎng)絡(luò)與企業(yè)的Web應(yīng)用交互��,由Web應(yīng)用與企業(yè)后臺的數(shù)據(jù)庫及其他動態(tài)內(nèi)容通信���。盡管不同的企業(yè)會有不同的Web環(huán)境搭建方式,一個典型的Web應(yīng)用通常是標(biāo)準(zhǔn)的三層架構(gòu)模型�����,如圖示1-1所示�。中間層(Web服務(wù)器)數(shù)據(jù)層(數(shù)據(jù)庫服務(wù)器)客戶端(Web瀏覽器)圖示一�1標(biāo)準(zhǔn)We
2、b應(yīng)用架構(gòu)在這種最常見的模型中��,客戶端是第一層����;使用動態(tài)Web技術(shù)的部分屬于中間層��;數(shù)據(jù)庫是第三層����。用戶通過Web瀏覽器發(fā)送請求給中間層���,由中間層將用戶的請求轉(zhuǎn)換為對后臺數(shù)據(jù)的查詢或是更新���,并將最終的結(jié)果在瀏覽器上展示給用戶。2.黑客篡改網(wǎng)頁的手段網(wǎng)站的網(wǎng)頁之所以存在被篡改的可能性�,有客觀和主觀兩方面的原因。就客觀而言����,因為存在以下原因,現(xiàn)有技術(shù)架構(gòu)下網(wǎng)站漏洞將長期存在:9/9nWeb平臺的復(fù)雜性n操作系統(tǒng)復(fù)雜性:已公布超過2萬多個系統(tǒng)漏洞����。一個漏洞從發(fā)現(xiàn)到被利用平均為5天,而相應(yīng)補(bǔ)丁的發(fā)布時間平均為47天�����。nWeb
3、服務(wù)器軟件漏洞:IIS����、Apache、Tomcat����、Weblogic都存在大量的已知漏洞,同時每天都有大量的新漏洞被報出���。n第三方軟件漏洞:由各類軟件廠商提供的第三方軟件存在各種漏洞�����。n應(yīng)用系統(tǒng)漏洞:各種注入式攻擊漏洞�,多個應(yīng)用系統(tǒng)不同的開發(fā)者����。就主觀而言�����,過于苛刻的安全管理要求���,通常網(wǎng)絡(luò)管理員難以完全實現(xiàn):n密碼管理:合格密碼需要8位以上復(fù)雜字符并定期改變��。n配置管理:嚴(yán)格的��、細(xì)粒度的權(quán)限控管��;嚴(yán)謹(jǐn)?shù)膱箦e處理�;配置文件、系統(tǒng)文件的管理等等�����。n漏洞補(bǔ)?����。翰僮飨到y(tǒng)�����、中間件����、應(yīng)用系統(tǒng)的定期更新。n上網(wǎng)控制:釣魚����、木馬�、間
4�、諜軟件。1)傳統(tǒng)安全設(shè)備Web網(wǎng)站通常使用了防火墻和IDS/IPS等網(wǎng)絡(luò)安全設(shè)備來保護(hù)自身的安全�����,如圖示1-2所示����。防火墻IDS/IPSDoS攻擊端口掃描網(wǎng)絡(luò)層模式攻擊已知Web服務(wù)器漏洞上傳木馬網(wǎng)頁篡改惡意執(zhí)行注入式攻擊Web服務(wù)器數(shù)據(jù)庫服務(wù)器Web應(yīng)用應(yīng)用服務(wù)器圖示一�2傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備9/9網(wǎng)絡(luò)防火墻提供網(wǎng)絡(luò)層訪問控制和攻擊保護(hù)服務(wù),它們統(tǒng)一部署在網(wǎng)絡(luò)邊界和企業(yè)內(nèi)部重要資源(例如Web應(yīng)用)的前端���,提供必要的保護(hù)以防御網(wǎng)絡(luò)層黑客攻擊�。但是���,網(wǎng)絡(luò)防火墻規(guī)則集必須允許重要協(xié)議(如HTTP/HTTPS)不受限制地訪問
5��、Web應(yīng)用,即完全向外部網(wǎng)絡(luò)開放HTTP/HTTPS應(yīng)用端口����。如果攻擊代碼被嵌入到Web通信中��,則從協(xié)議角度來看這些通信是完全合法的���,而此時網(wǎng)絡(luò)防火墻對此類攻擊沒有任何的保護(hù)作用。IDS/IPS入侵檢測系統(tǒng)/入侵防御系統(tǒng)作為防火墻的有利補(bǔ)充�����,加強(qiáng)了網(wǎng)絡(luò)的安全防御能力���。入侵檢測技術(shù)同樣工作在網(wǎng)絡(luò)層上�����,對應(yīng)用協(xié)議的理解和作用存在相當(dāng)?shù)木窒扌?����,對于?fù)雜的http會話和協(xié)議更是不能完整處理�����。如果需要防御更多的攻擊���,那么就需要很多的規(guī)則����,但是隨著規(guī)則的增多�����,系統(tǒng)出現(xiàn)的虛假報告率(對于入侵防御系統(tǒng)來說�����,會產(chǎn)生中斷正常連接的問題)
6�����、會上升����,同時,系統(tǒng)的效率會降低��。一個最簡單的例子就是在請求中包含SQL注入代碼���,這些數(shù)據(jù)不管是在傳統(tǒng)防火墻所處理的網(wǎng)絡(luò)層和傳輸層����,還是在代理型防火墻所處理的協(xié)議會話層�,或者是常規(guī)的入侵檢測系統(tǒng)和增強(qiáng)的入侵防護(hù)系統(tǒng),都會認(rèn)為是合法的����,無法被阻擋或檢出。1)專業(yè)網(wǎng)頁防篡改系統(tǒng)由前面的描述可以看出����,Web網(wǎng)站防篡改的核心工作包括:1.阻止對網(wǎng)頁文件的篡改。2.防止非法網(wǎng)頁和信息被訪問���。3.有效防御各種來自應(yīng)用層的攻擊���,例如注入式攻擊、跨站攻擊����、非法上傳、身份仿冒等等����。因此Web網(wǎng)站和Web應(yīng)用系統(tǒng)除了使用一般的網(wǎng)絡(luò)安全設(shè)備
7、外����,還需要有效的網(wǎng)頁防篡改系統(tǒng)來專門對頁面內(nèi)容和動態(tài)數(shù)據(jù)進(jìn)行保護(hù)��。9/9一�、實現(xiàn)技術(shù)比較目前��,網(wǎng)頁防篡改系統(tǒng)的相關(guān)技術(shù)有四種:n外掛輪詢技術(shù)�。獨立工作,從一臺外部機(jī)器輪詢監(jiān)測目標(biāo)網(wǎng)站的網(wǎng)頁完整性�。主要保護(hù)對象為靜態(tài)網(wǎng)頁。n數(shù)字水印技術(shù)��。作為Web服務(wù)器的核心內(nèi)嵌模塊在網(wǎng)頁被瀏覽時進(jìn)行完整性檢查��。主要保護(hù)對象為靜態(tài)文件和腳本��。n事件觸發(fā)技術(shù)���。通過Hook�、驅(qū)動或其他操作系統(tǒng)專有接口監(jiān)測文件系統(tǒng)的變化����。主要保護(hù)對象為文件。n應(yīng)用防護(hù)技術(shù)。通過Web服務(wù)器上的內(nèi)嵌過濾模塊接口監(jiān)測HTTP請求�����。主要保護(hù)對象為后臺數(shù)據(jù)庫��。外掛
8��、輪詢技術(shù)由于效率低�、覆蓋檢查面小�、對目標(biāo)網(wǎng)站影響大,目前在市場上已很少使用���,不再作討論�。以下僅討論另外三種技術(shù)��。1.?dāng)?shù)字水印技術(shù)1)原理數(shù)字水印技術(shù)在文件發(fā)布時生成數(shù)字水?����。℉MAC單向鑒別散列值)�,在文件每次被Web服務(wù)器訪問(含執(zhí)行)時檢查數(shù)字水印,并對結(jié)果進(jìn)行相應(yīng)處理�����。2)實現(xiàn)使用Web服務(wù)器核心內(nèi)嵌技術(shù),該技術(shù)在不同的Web服務(wù)器上采用
