一、三種技術
1. 外掛程式輪詢技術
外掛程式輪詢技術是利用乙個網頁檢測程式,以輪詢方式讀出要監控的網頁,與真實網頁相比較,來判斷網頁內容的完整性,對於被篡改的網頁進行報警和恢復。
2. 核心內嵌技術
核心內嵌技術是將篡改檢測模組內嵌在web伺服器軟體裡,它在每乙個網頁流出時都進行完整性檢查,對於篡改網頁進行實時訪問阻斷,並予以報警和恢復。
3. 事件觸發技術
事件觸發技術是利用作業系統的檔案系統介面,在網頁檔案的被修改時進行合法性檢查,對於非法操作進行報警和恢復。
二、形象性描述
如果我們把web伺服器看成是乙個安全性要求很強的大樓,每個目錄都是大樓的乙個房間,每個檔案都是房間裡的某個物品,則以上三種防篡改技術可以形象描述為:
1. 外掛程式輪詢技術
大樓配備了乙個保衛人員進行巡邏,他不停地在每個房間裡進行檢查,發現有可疑物品即進行報警。這種方式的顯著弱點是:當大樓裡有很多房間和很多物品時,他會忙不過來,畢竟巡邏一次要花費很長時間,這樣給可疑物品的存在和流出帶來很大機會。
2. 核心內嵌技術
大樓在出口處配備乙個保衛人員,他對每乙個流出的物品進行檢查,發現有可疑物品即阻止它的流出。這種方式的顯著弱點是:由於存在檢查手續,物品在流出時會耽誤時間;相應優點是,由於每個物品在流出時進行檢查,因此可疑物品沒有可乘之機。
3. 事件觸發技術
大樓在正門進口處配備乙個保衛人員,他對每乙個進入的物品進行檢查,發現有可疑物品即進行報警。這種方式的顯著優點是:防範成本很低,但缺點是:通常大樓結構都很複雜,物品除了從正門外還有許多非法渠道進入,並且還隨時不斷有新的門路被發現。另外,非法物品一旦混進了大樓,就再也沒有機會進行安全檢查了。
三、技術評估
1. iguard事件觸發技術和核心內嵌技術與其他網頁防篡改技術特性對照表:
外掛程式輪詢技術 事件觸發技術 核心內嵌技術
訪問篡改網頁 可能 可能 不可能
伺服器負載 中 低 低
頻寬占用 中 無 無
檢測時間 分鐘級 秒級 實時
繞過檢測機制 不可能 可能 不可能
防範連續篡改攻擊 不能 不能 能
保護所有網頁 不能 能 能
動態網頁指令碼 不支援 支援 支援
適用作業系統 所有 受限 所有
上傳時檢測 不能 受限 能
斷線時保護 不能 不能 能
2. 訪問被篡改網頁
外掛程式輪詢技術:無法阻止公眾訪問到被篡改網頁,它只能在被篡改後一段時間發現和進行恢復,因此公眾有很大可能訪問到被篡改網頁。
核心內嵌技術:守住web網頁流出的最後一道關口,因此能夠完全杜絕被篡改的網頁被公眾訪問到,真正做到萬無一失。
事件觸發技術:將安全保障建立在「網頁不可能被隱秘地篡改」這種假設上,因此也沒有對網頁流出進行任何檢查,在一些情形下(具體情形見下文),公眾是有可能訪問到被篡改網頁的。
3. web伺服器負載
外掛程式輪詢技術:由於從外部不斷地和獨立地掃瞄web伺服器檔案,因此對web伺服器形成相當的負載,並且掃瞄頻度(亦即安全程度)和負載總是矛盾的。
核心內嵌技術:篡改檢測模組內嵌於web伺服器軟體裡,web伺服器軟體讀出網頁檔案後,由篡改檢測模組進行水印比對,因此要占用一定cpu計算時間。但這個計算是在記憶體中進行的,比起web伺服器軟體從硬碟中讀取網頁檔案的操作來,額外產生的負載是非常小的。
事件觸發技術:由於只在正常網頁發布時進行安全檢查,因此對網頁訪問的影響幾乎為零,額外占用的伺服器負載也基本上為零。
4. 頻寬占用
外掛程式輪詢技術:從外部獨立檢測網頁,因此需要占用訪問的網路頻寬。
核心內嵌技術和事件觸發技術:檢測都在伺服器本機上進行,不占用網路頻寬。
5. 繞過檢測機制
外掛程式輪詢技術:由外部主機進行,不可能繞過檢測。
核心內嵌技術:整合在web伺服器軟體裡的,對每乙個網頁都進行篡改檢查,不可能有網頁繞過檢測機制。
事件觸發技術:並不能確保捕獲對檔案的所有方式的修改(例如直接寫磁碟、直接寫核心驅動程式、利用作業系統漏洞等),非常容易被專業黑客很容易繞過;而且一旦成功,它沒有任何手段來察覺和恢復。它的技術特點決定了它類似於防病毒工具(以黑防黑)而不是專門針對**保護的系統。
6. 連續篡改攻擊
有意進行惡意攻擊的黑客可以利用其他技術的掃瞄間隔來進行連續的篡改攻擊,即在網頁被恢復後立即重新篡改網頁。
核心內嵌技術:在每次輸出網頁時都進行完整性檢查,如有變化則阻斷傳送。因此,無論連續攻擊多麼迅速和頻繁,都無法使公眾看到被篡改的網頁。
7. 動態網頁指令碼
外掛程式輪詢技術:所監測到的動態網頁是網頁指令碼和內容混合後的結果,而網頁內容是根據訪問情況時時在變化的,外掛程式輪詢技術又無法區分網頁指令碼和內容,因此無法實現對動態網頁的防篡改保護。
核心內嵌技術和事件觸發技術:可以直接從web伺服器上得到動態網頁指令碼,不受變化的內容影響,因而能夠象靜態網頁一樣保護動態網頁指令碼。
8. 斷線時保護
核心內嵌技術:即使在黑客中斷了web伺服器和備份網頁伺服器連線的情況下,也可以阻止被篡改網頁的流出,最大程度達到保證效果。
事件觸發技術:如果黑客中斷了web伺服器和備份網頁伺服器的連線,這個被篡改的網頁就沒法即時恢復,而與此同時,大量的公眾可能已經訪問到了這個網頁,造成嚴重後果。
如何實現網頁防篡改
最近想和朋友搞乙個防篡改的東西,我自己羅列了一些,諮詢下各位篡改網頁的途徑和相應的方法,小弟不才,不勝賜教.一 網頁篡改的途徑 1 sql注入後獲取webshell 黑客通過web應用程式的漏洞,通過sql語句提交非法的語句到資料,通過系統以及第三方軟體的漏洞獲取web的控制許可權或者伺服器許可權 ...
超級優化鎖定系統重要檔案防止篡改
一般我們我的伺服器遭受木馬,上來基本上是要提權的,建立賬號和自啟軟體等,所有我們要鎖定關鍵系統檔案,必須對賬號密碼檔案及啟動檔案加鎖,防止提權被篡改。etc passwd etc shadow etc group etc gshadow etc inittab 對以上檔案加鎖 chattr i et...
安全系列之網頁防篡改系統
3手裡的乙個雲專案交付了半年,客戶業務系統也順利通過了雲上等保測評二級,為了提前為等保 做好準備,客戶擬購買一些雲上的安全服務,需要服務商提供安全諮詢,為此我們認真研究了一系列安全服務的工作原理,以提公升安全服務能力。今天我們從比較簡單的網頁防篡改系統入手。一 為什麼需要網頁防篡改 網頁相當於是乙個...