网页防篡改方案2.docx

资源描述

网页防篡改方案2.docx

《网页防篡改方案2.docx》由会员分享，可在线阅读，更多相关《网页防篡改方案2.docx（20页珍藏版）》请在冰点文库上搜索。

网页防篡改方案2.docx

网页防篡改方案2

网页防篡改解决方案

上海睿宏电子科技发展有限公司

2013-02-05

1方案概述

1.1WEB安全现状分析

随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。

主要表现在两个层面：

一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。

然而与之形成鲜明对比的却是：

现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：

针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。

据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。

未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。

解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。

2008年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。

国家互联网

应急中心（CNCERT）监测到中国大陆被篡改网站总数达到35113个，同比增加了23.7%。

按月统计情况如图所示：

2008年上半年中国被篡改网站数量

2008年1月至6月期间，中国大陆政府网站被篡改数量基本保持平稳，各月累计达2242个。

与去年上半年同期监测情况相比，增加了41%。

从中可以看出，每月被篡改的域名网站约占整个大陆地区被篡改网站的7%，而域名网站仅占.cn域名的2.3%，因此政府网站仍然是黑客攻击的重要目标。

具体比例如下图：

1.2企业WEB服务器面临的威胁

1.2.1跨站脚本

跨站脚本攻击全称为CrossSiteScript，一般缩写为XSS。

此漏洞是由于应用程序在服务器端获取用户提交的数据时，没有对内容进行验证。

使得攻击者精心构造的恶意脚本在普通用户的浏览器中得到执行，除了可以窃取其他用户、管理员的Cookie外，还可以进行挂马，使得更多的访问者感染恶意代码。

在Web2.0技术流行的今天，跨站脚本漏洞还有可能被蠕虫利用，进行大规模的攻击，危害很大。

此类漏洞的根本原因是，开发人员在编写应用程序时，对用户提交的数据过滤的不够严格，或者未过滤。

由于考虑在实际开发中需要过滤的内容比较多，可能会有遗漏，因此我们建议开发人员在对用户输入的变量进行检查时，使用白名单方式，即，检查用户传入的变量是否是系统允许的类型，如果不是，就提示错误，直到用户传入合法的数据。

1.2.2注入攻击

注入攻击中最常见的是SQL注入，此攻击类型是由于应用程序在服务器端获取用户提交的数据时，没有对内容进行严格验证，就拼接到SQL语句中执行。

攻击者可以精心构造特定的SQL语句使服务器执行，从而进行未授权的数据修改，甚至在数据库服务器上执行系统命令，对Web站点的安全造成严重威胁。

此类漏洞的根本原因是，开发人员在编写应用程序时，未使用安全的方式执行SQL查询，而使用了拼接的方式将变量输入到SQL语句中。

防范SQL注入的最好方法是，修改应用程序代码，使用安全的方式执行SQL查询，例如：

使用PreparedStatement方式。

1.2.3越权操作

越权操作通常是由于应用程序在编写时，对身份验证部分考虑的不全面。

越权操作可以分为水平和垂直两个方面：

水平越权是指：

部分页面未对访问者的角色进行严格检查，A用户可能利用应用程序的漏洞，可以访问到B用户的数据，进行越权查看，修改，甚至删除。

此类越权操作可能导致用户信息泄漏，或者被恶意篡改，严重影响网站的形象。

如果发生在存放有重要数据的系统中，可能会导致直接或间接经济损失，甚至引发法律纠纷。

垂直越权是指：

部分页面未对访问者的角色进行严格区分，普通用户可能利用应用程序的漏洞，将自己提升到高一级用户的权限，例如管理员权限。

此类越权操作可能导致管理员权限泄漏，攻击者用管理员权限进行一些非法操作，严重影响数据的安全性。

如果管理员后台合并有其他漏洞，例如：

图片上传漏洞，攻击者可以向系统中上传webshell，进一步提升权限，最终获得网站服务器的管理员权限，危害很大。

1.2.4文件上传

文件上传漏洞指：

开发人员编写应用程序时，未对用户上传的文件的扩展名进行严格的检查，从而导致攻击者上传webshell，获取到网站的权限。

文件上传大多数是由于开发人员的疏忽或者对安全的理解不深引发的。

例如：

开发人员只过滤了asp扩展名的文件，而未过滤asa、cer扩展名的文件，而asa、cer扩展名的文件也会被asp.dll解析，从而导致webshell被上传。

建议开发人员在对用户上传的文件进行操作时，严格检查扩展名，与防范XSS的方法类似，也使用白名单方式，例如：

只允许用户上传jpg、gif、bmp、zip、rar扩展名的文件，其余扩展名的文件禁止上传。

1.2.5信息泄露

信息泄漏大致分为两类：

一类是由于应用程序编写时对错误处理方便考虑不全面，使得用户提交非法数据时应用程序报错，在错误信息中可能包含大量操作系统版本、Web服务器版本、网站在服务器上的绝对路径等敏感信息。

此类型漏洞攻击者可能无法直接利用，但和其他漏洞结合起来，就会对成功入侵起到很大的帮助。

还有一类是由于网站维护人员的疏忽，或者管理不规范，使得一些测试页面或者备份页面未及时删除，或者网页源代码中的注释过于详细，都可以不同程度的泄漏网站的信息。

为攻击者获取网站权限创造便利条件。

1.3面向应用层新型攻击特点

⏹隐蔽性强：

利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。

⏹攻击时间短：

可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。

⏹危害性大：

目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。

用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取，都将造成企业或个人巨大的损失。

据权威部门统计，目前身份失窃（identitytheft）已成为全球最严重的问题之一。

⏹造成非常严重的有形和无形损失：

目前，很多大型企业都是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以至于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。

2防篡改总体方案设计

2.1防篡改系统部署方式

2.1.1系统组成

安恒网站卫士网页防篡改系统由管理控制端（server）、监控端（agent）和发布端（push）三大模块组成。

管理控制端程序可安装在任何一台服务器上，主要用于配置、管理和查看监控端、发布端的各种信息，并下发站点安全规则到监控端；监控端程序是安装在web服务器上的，主要是对站点进行保护备份和监测；发布端程序安装在更新服务器上，主要对站点文件进行实时更新。

管理控制端主要用来配置和下发安全策略，提供管理员管理操作监控端和发布端的Web管理界面，并通过传输服务模块和通讯模块负责和监控端的文件传输、日志报警、系统状态等数据。

监控端主要包含文件防篡改模块和web防攻击模块。

文件防篡改模块主要对站点网页文件或文件夹进行实时保护，实现的是站点静态区域文件的保护；web防攻击模块主要对网页访问进行保护，如防止非法网页请求和SQL注入攻击等，实现的是站点动态区域文件的保护。

2.1.2系统部署

在部署网页防篡改系统时，首先需要架设管理控制端，然后，在Web服务器上安装监控端软件，通过在管理控制端的配置监控端认证信息，即可实现管理控制端和监控端之间的安全连接。

站点管理员通过管理控制端可以查看监控端的运行情况及日志信息。

发布端部署在更新服务器上，负责所有网页内容的更新。

由于管理控制端有着管理控制、站点备份的权力，一般在管理控制端前架设一台应用网关设备，用于站点管理员安全地连到管理控制端。

根据用户状况、需求、提供环境的不同，网站卫士可采用不同的部署方式。

1、简单部署方式

简单部署方式如图2-1所示，即把网站卫士系统的监控端、发布端和管理控制端软件仅部署在一台Web服务器上。

Web服务器既接收网页发布，也对外提供Web服务。

另外，如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。

这种部署环境比较适合哪些小型的、需要租用专门机构的Web服务器的机构。

图2-1简单部署方式示例

在安全考虑上，由于Web服务器对外提供Web服务，需要暴露在外网中。

因此，Web服务所在的网页目录更容易遭到攻击。

这种部署方式能够在一定程度上防止对网页的直接篡改。

但是，由于发布目录和Web服务目录都在Web服务器上（虽然在不同目录上），手段极其高明的黑客有可能找到这个目录并加以篡改。

因此，这种部署方式并不能完全发挥网站卫士的安全防护作用。

一般情况下，并不建议这种部署方式。

2、基本部署方式

基本部署方式需要两台服务器。

即把网站卫士系统的监控端软件安装在一台Web服务器上，发布端和管理控制端软件安装在另一台服务器上，用来发布、更新站点文件的内容，如图2-2所示。

图2-2基本部署方式示例

一般来说，发布服务器位于内网中，处于相对安全的环境中。

所有网页的合法变更（包括增加、修改、删除、重命名）都在发布端进行，启用监控端的自动发布功能，发布服务器上的任何文件/目录的变化都会自动和立即反映到Web服务器上的相应位置。

因此，这种方式具有很好的Web安全防护效果。

另外，如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。

这样，发布服务器会自动对前段站点进行更新，同时也保证了数据传输的安全性。

基本部署方式既可以实现具有统一网站编辑部门的组织或机构的集中发布，也可以满足具有多个下属部门独立制作，需要通过互联网远程发布的组织或机构的分布式发布要求。

3、扩展部署方式

这种部署方式是基本部署方式的扩展，它把网站卫士系统的发布端和管理控制端软件分别装到了两台独立服务器上，如图2-3所示。

图2-3扩展部署方式示例

4、标准部署方式

由于现今大多数网站都使用了内容管理系统（CMS）进行网页的编辑、审核、签发和合成等工作，为了满足这些机构组织的需求，安恒提供了这种环境的标准部署方式。

如图2-4所示，该部署方式把网站卫士系统的监控端软件安装在一台Web服务器上，发布端和管理控制端直接安装在CMS上，把CMS发布的目录作为发布端的发布目录，这样，无需更改CMS的端口，即可实现发布端对Web服务器文件/目录的更新。

图2-4标准部署方式示例

5、多Web服务器部署方式

多Web服务器部署方式适合大型的门户网站，它具有多台独立的Web服务器，它们的网络地址、网络内容是不一样的，甚至操作系统也不一样。

它们可以使用一套内容管理系统，也可以使用不同的内容管理系统。

部署方式如图2-5所示，在CMS上安装安恒网站卫士系统的发布端和管理控制端，用于更新主站点Web服务器上的内容；在主站点的Web服务器上安装发布端和监控端，其上的发布端主要用来更新分站点上Web服务器上的内容；另外，需要在各个分站点安装网站卫士系统的监控端。

图2-5多Web服务器部署方式示例

2.2防篡改系统平台支持

管理控制端（安恒网站卫士-Server）：

Windows操作系统：

Windows2000，WindowsXP，Windows2003

发布端（安恒网站卫士-Push）：

Windows系统：

Windows2000，WindowsXP，Windows2003

Linux系统：

RedhatLinux、RedFlagLinux、TurboLinux

监控端（安恒网站卫士-Agent）：

Windows系统：

Windows2000，WindowsXP，Windows2003

Linux系统：

RedhatLinux、RedFlagLinux、TurboLinux

内嵌模块：

IIS：

5.x，6.x，7.x

Apache：

1.3，2.0，2.2

Java系列：

weblogic，websphere，jboss，tomcat，resin等

2.3防篡改系统功能特点

2.3.1网页文件保护

通过web防攻击模块、防篡改模块（系统内核层的文件驱动），可对动态和静态网页文件进行完美的保护。

按照用户配置的进程及路径访问规则，设置网站目录、文件的读写权限，限制文件目录的增、删、改操作行为，确保网页文件不被非法篡改。

2.3.2网络攻击防护

web防攻击模块对每个请求进行合法性检测，只允许规则内合法的访问请求，对非法请求或恶意扫描请求，则立即进行屏蔽，防止SQL注入式攻击。

Web核心特征库会定期升级，保障其强大的检测能力。

2.3.3系统自我保护

安恒网站卫士网页防篡改系统能够实时地保护自己，不被非法的删除、修改、卸载等，保证了即使服务器被非法入侵，也不能够对网站进行篡改，不能够对网站管理系统进行破坏。

2.3.4网站安全发布

使用传输模块从监控端的镜像站点直接更新受保护的网站目录，数据通过SSL加密传输，杜绝传输过程的被篡改的可能。

2.3.5网站备份还原

安恒网站卫士网页防篡改系统支持监控站点数据备份还原功能，可对监控站点目录文件和数据库进行全量或增量备份。

用户可以通过启用发布端的自动发布功能，在不停止备份功能的前提下，自动更新网页，发布端会自动将这些内容更新到Web服务器上。

2.3.6实时报警

对非法篡改行为，系统会自动记录报警日志，并通过手机短信、电子邮件、syslog等多种方式通知管理员。

能对网站攻击做到快速响应，及时应变。

2.3.7管理员权限分级

可对管理员及监控端分配不同的权限组合。

2.3.8日志审计

提供管理员行为日志，包括：

时间、事件、操作对象、行为、IP地址等详尽信息，方便区分正常更新过程还是篡改攻击行为；支持保护日志查询审计功能；用户不能进行日志修改、删除操作，确保日志的准确性与完整性。

2.3.9网站智能分析

1、可获得整个网站全面细致的综合访问情况，如图2-1所示；

图2-1网站综合防问情况示例

2、对网站进行树结构管理，操作轻松简便，并可得到多级栏目的分析结果（可无限延伸到多级栏目），如图2-2所示；

图2-2网站多级栏目分析示例

3、可灵活设定条件分析访问者的各种行为，如图2-3所示；

图2-3访问者的行为设定示例

4、了解浏览者的地区分布，对于市场分布一目了然，如图2-4所示；

图2-4浏览者地区分布示例

5、生成时间报表，了解任意时间段内网站访问的趋势，如图2-5所示；

图2-5网站访问趋势示例

6、通过详尽的动态报表提供更加丰富的结果，如图2-6所示；

图2-6生成动态报表示例

7、可将分析结果导出成PDF和EXCEL报表；

8、可以同时管理多个网站，并可单个分析和汇总各个子站点的分析结果。

2.3.10系统信息检测

管理控制端机器能记录所有监控端Web服务器的CPU、内存、硬盘等应用情况，方便管理员根据提供的硬件信息做升级和维护调整。

2.3.11集中管理

通过监控端集中管理多台Web服务器，监测多主机实时状态，制定保护规则，接收Web服务器的报警和日志信息。

控制Web服务器的启用、关闭、禁用等状态，并可对Web服务器的日志和报警情况做统计分析。

2.4防篡改系统优势

◆技术先进：

采用第三代全新的防篡改技术，稳定、可靠、高效、兼容性高；

◆保护全面：

即时内容恢复与实时动态攻击防护相结合，全面保护各类网页和网站数据安全；

◆操作简便：

全中文操作界面、导航式安装提示、内置安全模板，大大缩短部署时间；

◆内容传输：

支持多Web服务器并行发布、断点续传、加密传输、同步端自带HA功能；

◆配置灵活：

访问策略可以灵活配置、功能模块可以灵活组合、文件类型可以按需添加；

2.5WEB防篡改系统为企业带来的价值

WEB防篡改系统的应用将实现如下效果：

动态深度防御

n通过专业WEB入侵异常检测技术，对网银动态访问实施全面、深度分析，有效识别、阻止各类WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）。

敏感信息泄露防护

n通过安全防护策略，灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息（如：

WEB应用安装目录、WEB服务器版本信息等）的泄露。

事中告警

n针对各类攻击行为及异常访问行为，实时告警并通过各类方式通知给安全管理员，便于快速处理安全事件。

事后分析

n提供详细的WEB应用攻击访问日志，实现对攻击源的定位分析，同时提供各类统计分析，方便掌握整个应用系统的动态安全状况。

3网站系统漏洞评估专业服务

3.1漏洞评估服务概述

由于WEB应用程序本身具有无法完全克服的安全漏洞，为黑客的入侵提供了可乘之机。

WEB安全专业服务（WEBSecurityProfessionalService）通过专业的安全工具、白客级的专家团队，协助客户对WEB应用进行常规扫描、高频度检测，对WEB应用安全事件进行成因分析、应急修复。

同时帮助安全开发及维护人员及时了解安全知识、提升安全技能，从而切实增强WEB应用的整体抗风险能力。

3.2服务内容介绍

WEB漏洞评估服务主要包含以下三大类、六方面：

大类

子类

说明

提交文档

漏洞检测

SQL注入漏洞

SQL注入漏洞产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患

网站漏洞扫描报告

跨站脚本漏洞

跨站脚本攻击简称为XSS又称CSS，是指服务器端的CGI程序没有对用户提交变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码