网页防篡改系统与网站安全
随着网络安全攻防实战演习常态化,企事业单位的网络安全规划标准、建设水平和管理能力均得到大幅提升,反过来也促进了网络安全产品的更新迭代。很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战,网页防篡改系统也不例外。
传统的网站安全防护体系中,网页防篡改系统的防护目标是保护网页不被篡改。狭义的网页篡改,是指存在于 Web 服务器上的网页文件被攻击者修改。在过去,由于 Web 应用系统发布、运维环节不规范,运维/开发人员安全意识薄弱,攻击者可以利用各种 Web 服务器文件系统权限管控上的缺陷直接篡改网页。所以,传统的网页防篡改系统的防护焦点也定位在识别并阻止这种直接篡改网页的行为。亦或在篡改发生后,及时识别篡改并采取阻止访问、自动恢复被篡改页面等处置措施。
网站运维的规范化、网站安全防护体系的日趋完善使得攻击者直接篡改网页变得越来越难。这一现状迫使攻击者将攻击目标从网页文件本身转向与网页文件相关的网站系统其它资源 (如配置文件、上传文件、动态文件等)。通过攻击这些资源,迂回达到篡改网页文件的目的。例如:攻击者通过篡改 Web 中间件配置文件,在其中加入重定向或反向代理处理,或者修改响应码自定义页面,进而实现不篡改网页文件却让访问者在访问网站时看到被篡改的内容。
此外,在近几年的网页篡改攻击研判案例中,攻击者通过供应链攻击、旁站攻击等攻击手段达成篡改目标网站网页文件目的的事件屡见不鲜。例如:攻击者通过探测网站后台入口,再通过撞库、爆破等手段登入网站后台,进而利用后台程序漏洞植入恶意程序或直接在后台编辑包含不当内容、不当链接的网页。
传统的网页防篡改产品无力应对上述挑战,主要是以下几方面原因:
传统网页防篡改产品确定产品的防护边界完全依赖于产品实施人员的经验。防护边界定的过窄,则防护可靠性大打折扣;防护边界定的过宽,则防护措施的可行性难以保证。
不同类型文件的变更方式和频度不一样,如框架文件和静态资源等变更频率较低,而用户生成的文件变更频率高且类型众多。可采用的防护手段和防护手段所能达到的防护效果都受到客观条件的约束。传统网页防篡改产品即使有足够多样的防护手段,要想针对不同防护对象采取恰当的防护措施,也要受制于产品实施人员的经验。
传统环境下的网页防篡改系统是在一个相对封闭的环境中运行的。也就是说,传统环境下,网站都是相互隔离的,一个单位的网站被篡改并不会对另一个单位的网站造成任何实际的影响。但当下,在虚拟化环境逐渐成为主流的背景下,网站从“独门独栋”的运行环境变成了“合租”甚至“群租”的运行环境。在这种环境下,一个单位的网站被篡改就有很大可能会造成整个虚拟化环境中的网站都面临巨大的安全风险。因此,虚拟化环境中的网页防篡改系统仅仅自扫门前雪是不行的,还要在对篡改攻击追根溯源的基础上,对攻击者在篡改攻击过程中埋下的各种安全隐患进行清理和隔离。而传统网页防篡改产品并不具备这样的能力。
因此,为了应对这些新挑战,要实现具备实战对抗能力的网页防篡改,就不能仅仅只保护网页文件。而需要从网站安全的整体视角大处着眼,从对抗各种篡改攻击的细微处入手。这就要求网页防篡改系统有足够的防护手段,并且针对不同防护对象采取恰当的防护措施。
为了应对上述新挑战,上海天存信息技术有限公司推出了iGuard网页防篡改系统 V6.0版,简称iGuard V6。iGuard V6将防护焦点从网站系统的文件或目录转向到网站系统本身。通过全面梳理网站系统的资产从安全工程的角度审视整个网站系统,勘定网页防篡改系统的防护边界。
iGuard V6 将各种可用于实现网页防篡改的技术和工具集成于一个统一的平台上。依据防护对象在 Web 服务中所起的作用,将它们划分为四种类型,并依据 Web 应用程序的运维特性,确定防护对象的更新方式。防护对象的类型与更新方式,决定了其具有不同的脆弱性。iGuard V6 根据防护对象的脆弱性对其采用差异化的防护措施。
iGuard V6 的防护机制分为常态防护和对抗防护两个维度。常态防护在平时针对网站系统所面临的篡改威胁对相关文件资产进行完整性和安全性监测;对抗防护在战时对文件遭到的篡改攻击进行实时侦测和拦截。通过平战结合的综合措施消弭网站系统的篡改风险。
如果将网站系统视为一座城池,iGuard V6 在这座城池上构建起一套纵深防御体系,针对攻击者的各种攻击手段,采取层层布控、坚壁清野、正本清源等各种策略,实现固若金汤的网页防篡改。
例如,针对攻击者攻陷网站后台篡改网页的攻击手段,iGuard V6 采用“坚壁清野”和“正本清源”的防御策略:
No.1 坚 壁
利用应用防护模块抵御攻击者为了探测/登入网站后台发起的 SQL 注入攻击等 Web 应用层攻击。
No.2 清 野
在网站后台服务器上通过轮询扫描/比对对关键目录进行扫描,发现并清理攻击者已经植入的 WebShell,通过驱动过滤、驱动扫描阻止攻击者植入新的 WebShell。
No.3 正 本
通过采用可信发布机制,在发布可信源上对待发布文件进行审查,发现其中的伪装文件、网页木马以及包含不当链接和敏感文字的网页文件。
No.4 清 源
对通过审查的待发布文件签发数字水印,数字水印不可伪造、不可篡改。轮询比对对关键目录下文件进行数字水印校验,内嵌比对在网页被访问时进行数字水印校验。只有携带数字水印才允许驻留于 web 服务器上并被正常访问。
这样一来,攻击者无论是利用后台漏洞上传 WebShell 来篡改网页,还是污染程序源代码并将污染后的源代码通过合法渠道更新到 Web 服务器形成篡改攻击,都能被有效遏制。(天存信息)
网页防篡改系统与网站安全相关推荐
- 服务器网页篡改,网站服务器网页防篡改系统
网页防篡改系统设计理念 网页防篡改系统在站点采用了两种防范方法,实现对静态区域文件和动态区域文件的保护.动态区域文件保护主要是在站点架设Web防火墙,通过设定关键字.IP.时间过滤规则,对扫描,非法访 ...
- 江翰网页防篡改系统解决方案--前言
前言 在电子商务.电子政务日益普及的今天,网站已成为企事业单位.政府机关的形象窗口,也是对外开展业务.提供服务的重要手段.网站页面被篡改,不仅将影响正常业务的开展,而且对企业形象.政府信誉带来极其不好 ...
- 网页防篡改系统的使用体验
年初上线一款市场占有率很高的网页防篡改系统,一个目的是真正了解一下防篡改系统的结构,二.当然提高网站的防篡改防护能力.三.合规.下面来简单说一下整体感受; (1)防篡改系统的结构 如图,防篡改系统分为 ...
- iGuard网页防篡改系统
iGuard页面防篡改系统(以下简称iGuard)是目前国内唯一能够完全保护网站不发送被篡改的页面内容的Web页面保护软件.iGuard以国家863项目先进技术为基础,使得其性能和安全性大大优于同类产 ...
- 服务器自带的防篡改,防篡改系统
产品优势 一.技术先进 采用先进的文件驱动防篡改技术,稳定.可靠.高效.兼容性高. 新一代内核驱动及文件保护,确保防护功能不被恶意攻击或者非法终止 支持大规模连续篡改攻击保护. 二.保护全面 实时动态 ...
- iGuard6.0 — 有序组织的网页防篡改
马克·吐温和理查·芒格说过:如果你身上唯一的工具是把锤子,那么你会把所有的问题都看成钉子.网页防篡改产品诞生之初就是这样一个情形:一个产品只采用一种防护手段.这些手段有的是依托于厂商掌握的先进核心技术 ...
- 网页防篡改技术的前世与今生
2019独角兽企业重金招聘Python工程师标准>>> 2013年1月15日,中国互联网络信息中心(CNNIC)在京发布第31次<中国互联网络发展状况统计报告>(以下简称 ...
- WAF和网络防火墙、网页防篡改、IPS三者的区别
Web应用的日益普及和Web攻击的与日俱增,让Web安全问题备受关注.但对于正常流量中的危险分子,传统的安全产品根本无能为力,此时,我们该靠什么来保护Web应用?Web应用防火墙(WAF)无疑是最佳之 ...
- 浅谈网页防篡改技术的前生今世
21世纪是互联网发展飞速的一个时代,根据联合国宽带可持续发展委员会发布的报告,截至2015年底,全球约有32亿人已经用上互联网,2016年底这个数字能达到35亿. 互联网已经到渗透各行各业,并且在逐渐 ...
最新文章
- 李飞飞宣布成立斯坦福“以人为本AI研究院”
- [原] 64位win7编译OpenCV SVN版本
- linux 文件夹 含义 表示(转)
- 【渝粤教育】电大中专建筑施工组织作业 题库
- 新工科背景下的计算机类专业人才培养探讨
- base-64 字符串中的无效字符。_查找字符串中连续不重复最长字符串和长度的方法...
- 用C#实现基于TCP协议的网络通讯(1)
- 第一周周二一天工作总结和周三工作计划——PM(李忠)
- .gpx文件转geojson
- h5优秀控件_HTML5优秀图表控件
- 计算S=a+aa+…+aa…a
- 【老九学堂】【初识C语言】编译过程
- 天龙微信游戏找服务器,《天龙八部3》微信公众号积分系统维护公告
- 什么认证在云计算行业内的含金量最大?考试费用贵不贵?
- php连接数据库的表如何居中,在php中打印数据如何居中显示
- 企业CDN缓存加速原理
- 网络安全将是未来10年里面的黄金产业
- HashMap、Hashtable、HashSet和ConcurrentHashMap掐死版本
- oracle数据库快捷键使用失败的处理
- nohup python程序,print无输出