返回
【附】各种网页防篡改技术比较

【附】各种网页防篡改技术比较

ID:12546713

大小:206.00 KB

页数:9页

时间:2018-07-17

【附】各种网页防篡改技术比较_第1页
【附】各种网页防篡改技术比较_第2页
【附】各种网页防篡改技术比较_第3页
【附】各种网页防篡改技术比较_第4页
【附】各种网页防篡改技术比较_第5页
资源描述:

《【附】各种网页防篡改技术比较》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网页防篡改产品比较一、网页防篡改产品的技术要求1.Web应用的基本架构Web应用是由动态脚本语言(如ASP、JSP和PHP等)和编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网或内部网络与企业的Web应用交互,由Web应用与企业后台的数据库及其他动态内容通信。尽管不同的企业会有不同的Web环境搭建方式,一个典型的Web应用通常是标准的三层架构模型,如图示1-1所示。中间层(Web服务器)数据层(数据库服务器)客户端(Web浏览器)图示一1标准We

2、b应用架构在这种最常见的模型中,客户端是第一层;使用动态Web技术的部分属于中间层;数据库是第三层。用户通过Web浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。2.黑客篡改网页的手段网站的网页之所以存在被篡改的可能性,有客观和主观两方面的原因。就客观而言,因为存在以下原因,现有技术架构下网站漏洞将长期存在:9/9nWeb平台的复杂性n操作系统复杂性:已公布超过2万多个系统漏洞。一个漏洞从发现到被利用平均为5天,而相应补丁的发布时间平均为47天。nWeb

3、服务器软件漏洞:IIS、Apache、Tomcat、Weblogic都存在大量的已知漏洞,同时每天都有大量的新漏洞被报出。n第三方软件漏洞:由各类软件厂商提供的第三方软件存在各种漏洞。n应用系统漏洞:各种注入式攻击漏洞,多个应用系统不同的开发者。就主观而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现:n密码管理:合格密码需要8位以上复杂字符并定期改变。n配置管理:严格的、细粒度的权限控管;严谨的报错处理;配置文件、系统文件的管理等等。n漏洞补丁:操作系统、中间件、应用系统的定期更新。n上网控制:钓鱼、木马、间

4、谍软件。1)传统安全设备Web网站通常使用了防火墙和IDS/IPS等网络安全设备来保护自身的安全,如图示1-2所示。防火墙IDS/IPSDoS攻击端口扫描网络层模式攻击已知Web服务器漏洞上传木马网页篡改恶意执行注入式攻击Web服务器数据库服务器Web应用应用服务器图示一2传统网络安全设备9/9网络防火墙提供网络层访问控制和攻击保护服务,它们统一部署在网络边界和企业内部重要资源(例如Web应用)的前端,提供必要的保护以防御网络层黑客攻击。但是,网络防火墙规则集必须允许重要协议(如HTTP/HTTPS)不受限制地访问

5、Web应用,即完全向外部网络开放HTTP/HTTPS应用端口。如果攻击代码被嵌入到Web通信中,则从协议角度来看这些通信是完全合法的,而此时网络防火墙对此类攻击没有任何的保护作用。IDS/IPS入侵检测系统/入侵防御系统作为防火墙的有利补充,加强了网络的安全防御能力。入侵检测技术同样工作在网络层上,对应用协议的理解和作用存在相当的局限性,对于复杂的http会话和协议更是不能完整处理。如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告率(对于入侵防御系统来说,会产生中断正常连接的问题)

6、会上升,同时,系统的效率会降低。一个最简单的例子就是在请求中包含SQL注入代码,这些数据不管是在传统防火墙所处理的网络层和传输层,还是在代理型防火墙所处理的协议会话层,或者是常规的入侵检测系统和增强的入侵防护系统,都会认为是合法的,无法被阻挡或检出。1)专业网页防篡改系统由前面的描述可以看出,Web网站防篡改的核心工作包括:1.阻止对网页文件的篡改。2.防止非法网页和信息被访问。3.有效防御各种来自应用层的攻击,例如注入式攻击、跨站攻击、非法上传、身份仿冒等等。因此Web网站和Web应用系统除了使用一般的网络安全设备

7、外,还需要有效的网页防篡改系统来专门对页面内容和动态数据进行保护。9/9一、实现技术比较目前,网页防篡改系统的相关技术有四种:n外挂轮询技术。独立工作,从一台外部机器轮询监测目标网站的网页完整性。主要保护对象为静态网页。n数字水印技术。作为Web服务器的核心内嵌模块在网页被浏览时进行完整性检查。主要保护对象为静态文件和脚本。n事件触发技术。通过Hook、驱动或其他操作系统专有接口监测文件系统的变化。主要保护对象为文件。n应用防护技术。通过Web服务器上的内嵌过滤模块接口监测HTTP请求。主要保护对象为后台数据库。外挂

8、轮询技术由于效率低、覆盖检查面小、对目标网站影响大,目前在市场上已很少使用,不再作讨论。以下仅讨论另外三种技术。1.数字水印技术1)原理数字水印技术在文件发布时生成数字水印(HMAC单向鉴别散列值),在文件每次被Web服务器访问(含执行)时检查数字水印,并对结果进行相应处理。2)实现使用Web服务器核心内嵌技术,该技术在不同的Web服务器上采用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。