企業(yè)網(wǎng)頁如果一旦被篡改，其后果是難以預(yù)計(jì)的。不僅影響了正常的訪問，而且可能還會引起客戶信譽(yù)的丟失。防護(hù)未知攻擊是難的，但看好我自己的網(wǎng)頁是相對容易的。因此，人們最先想到的就是網(wǎng)頁防篡改技術(shù)，保持自己的網(wǎng)頁不受侵害，起碼對社會不會造成大危害。網(wǎng)頁被篡改產(chǎn)品出現(xiàn)在Web早期，幾經(jīng)風(fēng)雨，各廠家技術(shù)逐漸統(tǒng)一。

網(wǎng)頁防篡改產(chǎn)品的部署：建立一臺單獨(dú)的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺Web服務(wù)器上安裝一個(gè)Agent程序，負(fù)責(zé)該服務(wù)器的“網(wǎng)頁文件看護(hù)”，管理服務(wù)器是管理這些Agent看護(hù)策略的。

a)第一代技術(shù)

把Web服務(wù)器主目錄下的文件做一個(gè)備份，用一個(gè)定時(shí)循環(huán)進(jìn)程，把備份的文件與服務(wù)使用的文件逐個(gè)進(jìn)行比較，不一樣的就用備份去覆蓋。網(wǎng)站更新發(fā)布時(shí)，則同時(shí)更新主目錄與備份。這種方法在網(wǎng)站大的情況下，網(wǎng)頁數(shù)量巨大，掃描一遍的時(shí)間太長，并且對Web服務(wù)器性能也是擠占。

b)第二代技術(shù)

采用了Hash算法，對主目錄下的每個(gè)文件做Hash，生成該文件的“指紋”，定時(shí)循環(huán)進(jìn)程直接計(jì)算服務(wù)用文件的Hash指紋，然后進(jìn)行指紋核對，指紋一般比較小，比較方便;指紋具有不可逆的特點(diǎn)，不怕仿制。

c)第三代技術(shù)

既然網(wǎng)站上頁面太多，三級以下頁面的訪問量，一般使用呈指數(shù)級下降，沒人訪問當(dāng)然也不會被篡改，在這些頁面重復(fù)掃描是不劃算的。改變一下思路：對文件讀取應(yīng)該沒有危險(xiǎn)，危險(xiǎn)的是對文件的改寫操作。若只對文件被改變時(shí)才做檢查，就可以大大降低對服務(wù)器資源的占用;具體做法是：開啟一個(gè)看守進(jìn)程，對Web服務(wù)器的主目錄文件刪改操作進(jìn)行監(jiān)控，發(fā)現(xiàn)有此操作，判斷是否有合法身份，是否為授權(quán)的維護(hù)操作，否則阻斷其執(zhí)行，文件不被改寫，也就起到了網(wǎng)頁防篡改的目的。這個(gè)技術(shù)也稱為事件觸發(fā)防篡改。

這種技術(shù)需要考驗(yàn)對服務(wù)器操作系統(tǒng)的熟悉程度，但黑客也是高手，你的看護(hù)進(jìn)程是用戶級的，黑客可以獲得高級權(quán)限，繞過你的“消息鉤子”，監(jiān)控就成了擺設(shè)。

d)第四代技術(shù)

既然是比誰的進(jìn)程權(quán)限高，讓操作系統(tǒng)干這個(gè)活兒，應(yīng)該是最合適的，黑客再牛也不可能越過操作系統(tǒng)自己“干活”。因此，在Windows系統(tǒng)中，提供系統(tǒng)級的目錄文件修改看護(hù)進(jìn)程(系統(tǒng)調(diào)用)，防篡改產(chǎn)品直接調(diào)用就可以了，或者利用操作系統(tǒng)自身的文件安全保護(hù)功能，對主目錄文件進(jìn)行鎖定(Windows對自己系統(tǒng)的重要文件也采取了類似的防篡改保護(hù)，避免病毒的侵?jǐn)_)，只允許網(wǎng)站發(fā)布系統(tǒng)(網(wǎng)頁升級更新)才可以修改文件，其他系統(tǒng)進(jìn)程也不允許刪改。

這個(gè)方法應(yīng)該說比較徹底，但可以看出，以后防篡改技術(shù)將成為操作系統(tǒng)的“專利”了，安全廠家實(shí)在是不愿意看到的。好在目前Linux還沒有支持。

網(wǎng)頁防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的都是保障網(wǎng)頁文件的完整性。

網(wǎng)頁防篡改對保護(hù)靜態(tài)頁面有很好的效果，但對于動態(tài)頁面就沒有辦法了，因?yàn)轫撁媸怯脩粼L問時(shí)生成的，內(nèi)容與數(shù)據(jù)庫相關(guān)。很多SQL注入就是利用這個(gè)漏洞，可以繼續(xù)入侵Web服務(wù)器。

到目前為止，很多網(wǎng)頁防篡改產(chǎn)品中都提供了一個(gè)IPS軟件模塊，用來阻止來針對Web服務(wù)的SQL注入、XML注入攻擊。如國內(nèi)廠家的WebGuard、iGuard、InforGuard等產(chǎn)品。
 

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時(shí)代下的企業(yè)Web安全
4. 概述網(wǎng)頁掛馬原理與危害
5. 網(wǎng)頁掛馬之我的前生今世