Web安全防护技术之网页防篡改二
网页防篡改系统可以用于Web服务器,也可以用于中间件服务器,其目的都是保障网页文件的完整性。其部署方式为,建立一台单独的管理服务器,然后在每台Web服务器上安装一个Agent程序,负责该服务器中站点文件的看护。其中管理服务器主要是管理这些Agent程序的看护策略。网页防篡改产品的技术原理主要包括如下几种:‘
(1)定时循环技术:把Web服务器主目录下的文件做一个备份,用一个定时循环进程,把备份的文件与服务使用的文件逐个进行比较,不一样的就用备份去覆盖。网站更新发布的同时更新主目录的备份。这种方法不适用于大型站点,因为大型站点页面数量巨大,备份时扫描时间过长,并会占用大量的Web服务器性能资源。
(2)摘要循环技术:采用了Hash算法,对Web艮务器主目录下的每个文件做Hash,生成该文件的哈希值。定时循环进程直接计算文件的哈希值并与原哈希值进行核对。该技术便于使用,仅占用较小的附加空间,而且哈希值具有不可逆的特点,不容易假冒。
(3)事件触发防技术:在权衡文件访问量、读取和修改操作的危险程度上,开启一个看守进程,对Web艮务器的主目录文件删改操作进行监控。发现有此操作行为,判断用户是否具有合法身份并被授权进行维护操作,否则阻断其执行,文件不被改写,也就起到了网页防篡改的目的。由于只有文件被改变时才做检查,因此该技术大大降低了对服务器资源的占用。
(4)底层过滤技术:防篡改产品直接调用WindowS系统中所提供的系统级的目录文件修改看护进程,或者利用操作系统自身的文件安全保护功能,对主目录文件进行锁定,只允许站点发布系统(页面更新)才可以修改文件,其他系统进程也不允许删改。
网页防篡改虽然可以很好的保护静态页面,但无法对动态页面实施保护,因为动态页面是用户访问时生成的,内容与数据库相关。很多SQL注入攻击就是利用这个漏洞来人侵Web 服务器的。有些网页防篡改产品也在其内部都提供了一个IPS软件模块,用来阻止来针对web 服务的SQL注入、XML注入攻击。