網(wǎng)站防篡改系統(tǒng) 介紹

網(wǎng)站防篡改系統(tǒng)介紹武漢和迅計(jì)算機(jī)工程公司網(wǎng)站防篡改系統(tǒng)

一. 網(wǎng)站現(xiàn)狀分析二.攻擊防范方法三. 和迅產(chǎn)品介紹一網(wǎng)站安全現(xiàn)狀Web應(yīng)用成為熱門的攻擊對象根據(jù)權(quán)威機(jī)構(gòu)GartnerGroup最新的調(diào)查結(jié)果表明，目前針對網(wǎng)絡(luò)的各類攻擊中，有75％以上是針對Web應(yīng)用而發(fā)起的。由于缺乏有效的防護(hù)手段，這種針對Web應(yīng)用的攻擊逐漸成為黑客發(fā)動攻擊的首選途徑。Web應(yīng)用得以迅速發(fā)展，得益于Internet的迅猛發(fā)展和Web瀏覽器的日益普及。但是這種普及是一把雙刃劍，在各種Web應(yīng)用不斷涌現(xiàn)的同時(shí)，Web應(yīng)用遭受攻擊的機(jī)會也大大地增加了。1.1網(wǎng)站安全所面臨的形勢網(wǎng)站被篡改的影響導(dǎo)致網(wǎng)站終止，服務(wù)不能正常開展對企業(yè)形象和政府信譽(yù)帶來極其不好的影響網(wǎng)站被篡改的普遍性2007-8-13日聯(lián)合國網(wǎng)站被篡改。秘書長潘基文發(fā)表聲明的網(wǎng)頁遭到篡改。今年5月，愛沙尼亞的銀行、政府部門網(wǎng)站曾經(jīng)遭到過有組織的攻擊。荊州市商務(wù)局首頁領(lǐng)導(dǎo)圖片被換。美國總統(tǒng)布什前任反恐顧問說，國際社會必須協(xié)調(diào)行動才能保護(hù)互聯(lián)網(wǎng)免受黑客攻擊。1.2國內(nèi)網(wǎng)站被篡改的情況網(wǎng)站被頻繁入侵，不僅極大影響了企業(yè)的形象，也體現(xiàn)出我國在信息發(fā)展中遇到嚴(yán)重的安全隱患。1.3網(wǎng)站被篡改的原因客觀原因：操作系統(tǒng)和應(yīng)用的復(fù)雜性，導(dǎo)致系統(tǒng)漏洞層出不窮。雖然有防火墻、入侵檢測；但是這些產(chǎn)品都是基于特定端口的，無法理解協(xié)議的具體內(nèi)容。網(wǎng)站容易被篡改的主觀原因：網(wǎng)站建設(shè)與保護(hù)措施建設(shè)不同步。還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù)，但并沒有根除安全隱患，從而遭到多次篡改。1.4網(wǎng)絡(luò)層技術(shù)不能解決問題安全現(xiàn)狀：1、每個人都可能成為黑客（自動化攻擊工具）2、Web平臺漏洞百出（平臺更新，開發(fā)者不注重安全）3、各種攻擊手段層出不窮（Top10攻擊手段）

現(xiàn)有網(wǎng)絡(luò)設(shè)備不能解決問題1、現(xiàn)有的安全設(shè)備不能解決問題2、網(wǎng)絡(luò)防火墻對于SSL數(shù)據(jù)流無能為力3、即使普通的編碼技術(shù)，都能輕易突破網(wǎng)絡(luò)防火墻4、網(wǎng)絡(luò)防火墻不能適應(yīng)日益增多的應(yīng)用5、傳統(tǒng)的安全設(shè)備不能防范未知類型的攻擊6、網(wǎng)絡(luò)防火墻提供的應(yīng)用層防護(hù)形同虛設(shè)

二Web安全威脅與防范方法

各類應(yīng)用攻擊分類及其危害分析網(wǎng)站攻擊的動機(jī)、階段和目標(biāo)網(wǎng)絡(luò)攻擊發(fā)展趨勢常見攻擊與防范方法2.1各類應(yīng)用攻擊分類及危害分析最危險(xiǎn)的應(yīng)用威脅清單Cross-SiteScriptingSQLInjectionCommandInjectionCookie/SessionPoisoningParameter/FormTamperingBufferOverflowDirectoryTraversal/ForcefulBrowsingCryptographicInterceptionCookieSnoopingAuthenticationHijackingLogTamperingErrorMessageInterceptionAttackObfuscationApplicationPlatformExploitsDMZProtocolExploitsSecurityManagementAttacksWebServicesAttacksZeroDayAttacksNetworkAccessAttacksTCPFragmentationDenialofService

對業(yè)務(wù)影響:銷售收入下降舞弊交易

非法數(shù)據(jù)侵入數(shù)據(jù)竊取及修改客戶身份丟失客戶服務(wù)中斷

恢復(fù)及清除成本

客戶信心下降及丟失2.2網(wǎng)站攻擊的動機(jī)、階段和目標(biāo)

技術(shù)炫耀

政治顛覆

經(jīng)濟(jì)利益

數(shù)據(jù)操縱

系統(tǒng)訪問

提升權(quán)限

拒絕服務(wù)收集信息

公開的數(shù)據(jù)來源

掃描和探測實(shí)際攻擊階段

網(wǎng)絡(luò)滲透

DoS/DDoS攻擊

帶寬消耗

主機(jī)資源消耗分析信息和準(zhǔn)備攻擊

正在使用的服務(wù)

已知操作系統(tǒng)或應(yīng)用漏洞

已知網(wǎng)絡(luò)協(xié)議的安全脆弱性

網(wǎng)絡(luò)拓?fù)?.3網(wǎng)絡(luò)攻擊的發(fā)展趨勢

網(wǎng)絡(luò)攻擊的發(fā)展趨勢:

技術(shù)炫耀型轉(zhuǎn)向利益驅(qū)動型。網(wǎng)絡(luò)攻擊的組織性、趨利性、專業(yè)性和定向性逐步加強(qiáng)。為獲得經(jīng)濟(jì)利益的惡意代碼和在線身份竊取成為主流。瞄準(zhǔn)特定用戶群體的定向化信息竊取和威脅。2.4常見攻擊與防范方法常見攻擊應(yīng)對手段SQL注入攻擊:

攻擊者通過提交包含SQL語句的數(shù)據(jù)到WEB服務(wù)器，進(jìn)而對網(wǎng)站的數(shù)據(jù)庫執(zhí)行操作，從而達(dá)到入侵目的。如獲取管理員用戶名和密碼，添加、修改或刪除數(shù)據(jù)，執(zhí)行某些存儲過程等。防SQL注入:

本系統(tǒng)通過對用戶提交的數(shù)據(jù)進(jìn)行分析可以有效的防止SQL注入攻擊。安裝本系統(tǒng)之后SQL防注入功能自動啟動，無需使用者設(shè)置關(guān)鍵字或正則表達(dá)式等過濾規(guī)則。使用者可以在遠(yuǎn)程通過瀏覽器查看日志或在服務(wù)器上使用配置工具GateConfig查看攻擊日志。上傳漏洞:由于Web應(yīng)用程序的上傳頁面未對用戶身份進(jìn)行認(rèn)證即允許用戶上傳文件，攻擊者可利用此漏洞上傳腳本木馬。

上傳文件過濾:

本功能可限制用戶上傳的文件類型，防止攻擊者上傳腳本木馬（如上傳asp、php、jsp等類型的木馬）。(可以對指定目錄或類型文件進(jìn)行例外)2.5常見攻擊與防范方法常見攻擊應(yīng)對手段弱口令攻擊:由于管理后臺的用戶名和密碼過于簡單，或使用了默認(rèn)的用戶名和密碼，攻擊者可以輕易進(jìn)入后臺從而對網(wǎng)站造成破壞。訪問認(rèn)證:

對于一些重要的目錄，如管理員后臺可能需要重點(diǎn)保護(hù)，可以通過訪問認(rèn)證完成此任務(wù)。

緩沖區(qū)溢出攻擊:緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。防止緩沖區(qū)溢出:本系統(tǒng)會對提交給WebServer的數(shù)據(jù)長度進(jìn)行檢測，一旦數(shù)據(jù)長度超過了規(guī)則設(shè)定的長度，數(shù)據(jù)將被丟棄。2.6常見攻擊與防范方法常見攻擊應(yīng)對手段跨站攻擊:跨站攻擊是指Web應(yīng)用程序未經(jīng)適當(dāng)過濾便將用戶提交的信息原樣顯示在頁面上，當(dāng)用戶瀏覽該頁面時(shí)即會遭到跨站攻擊。跨站腳本攻擊檢查:對指定的文件類型進(jìn)行參考開始路徑的檢查。

旁注攻擊:一臺服務(wù)器上通常存在多個WEB站點(diǎn)。如果攻擊者意圖入侵某網(wǎng)站，從該網(wǎng)站正面程序入手沒有機(jī)會時(shí)，就可以通過域名查找功能得到這個網(wǎng)站所在的虛擬主機(jī)中的其他網(wǎng)站，并嘗試入侵這些網(wǎng)站，然后上傳木馬進(jìn)而控制整個虛擬主機(jī)，而這樣也就達(dá)到了入侵目標(biāo)網(wǎng)站的目的上傳文件過濾:

本功能可限制用戶上傳的文件類型，防止攻擊者上傳腳本木馬（如上傳asp、php、jsp等類型的木馬）。(可以對指定目錄或類型文件進(jìn)行例外)禁止列目錄和屏蔽服務(wù)器信息

HTTP方法檢查產(chǎn)品介紹4.1H-infoweb安全防范體系攻擊者建模：阻止已知攻擊行為和探測活動.脆弱性建模阻止針對系統(tǒng)和應(yīng)用漏洞的攻擊活動。防護(hù)性建模建立合法的資源訪問模式。對進(jìn)出的資源進(jìn)行主動防護(hù)。應(yīng)急性響應(yīng)連續(xù)保護(hù)和容災(zāi)備份：對系統(tǒng)的活動進(jìn)行記錄，還原攻擊過程。應(yīng)急恢復(fù)、審計(jì)分析、事件關(guān)聯(lián)。4.2網(wǎng)站防篡改系統(tǒng)部署圖FirewallInternetUser/AttackerWebServersApplicationServersDatabaseFileServer產(chǎn)品1：應(yīng)用防火墻前端防御產(chǎn)品2：網(wǎng)站防篡改深度防御4.3系統(tǒng)組成系統(tǒng)配置模塊

用于設(shè)置規(guī)則庫,開啟或關(guān)閉各檢測模塊.該配置模塊只有擁有管理員權(quán)限帳號才能使用.過濾防護(hù)模塊

該模塊運(yùn)行在WEB服務(wù)器內(nèi)部,能夠?qū)崟r(shí)檢測用戶提交給WEB服務(wù)器的數(shù)據(jù),在惡意數(shù)據(jù)被網(wǎng)站程序執(zhí)行之前及時(shí)阻止并記錄攻擊來源.日志查看模塊

管理員可通過日志查看模塊方便的查看攻擊日志.4.4系統(tǒng)功能內(nèi)核防篡改功能防止SQL注入式攻擊防止緩沖區(qū)溢出支持URL過濾禁止下載指定類型文件可以對指定站點(diǎn)指定相應(yīng)規(guī)則

支持請求內(nèi)容類型過濾防止非法執(zhí)行腳本

文件保護(hù)功能防止假冒文件上傳可提供對任何文件的訪問認(rèn)證防腳本木馬文件上傳、修改、刪除等操作支持對文件的實(shí)時(shí)監(jiān)控支持文件上傳類型過濾支持文件上傳目錄過濾

支持對服務(wù)器所有文件目錄里的木馬進(jìn)行分析查找4.5系統(tǒng)功能安全認(rèn)證功能提供對網(wǎng)頁訪問或后臺登錄時(shí)的身份認(rèn)證可以對網(wǎng)站進(jìn)行IP訪問限制可以對文件和目錄進(jìn)行訪問認(rèn)證

安全防御功能

支持對服務(wù)器信息隱藏和屏蔽

支持對站點(diǎn)的匿名賬戶進(jìn)行安全檢測禁止列目錄

屏蔽服務(wù)器錯誤信息可繼承的細(xì)粒度配置4.6系統(tǒng)功能日志審計(jì)功能文件篡改日志查看

攻擊日志查看

數(shù)據(jù)統(tǒng)計(jì)功能

受攻擊網(wǎng)站統(tǒng)計(jì)分析攻擊IP統(tǒng)計(jì)分析

支持攻擊趨勢分析查詢，支持文件導(dǎo)出打印

4.7系統(tǒng)關(guān)鍵技術(shù)讀寫分離技術(shù)

使普通用戶對Web服務(wù)器資源只有讀取權(quán)限，只有通過認(rèn)證的用戶才擁有讀寫權(quán)限。只要未通過認(rèn)證，即使攻擊者發(fā)現(xiàn)網(wǎng)站存在的漏洞，也無法篡改網(wǎng)站文件。

2.

sql防注入技術(shù)

對來自于客戶的Web訪問請求進(jìn)行分析，檢查其中的表單輸入和URL輸入中是否含有非法字符/關(guān)鍵字構(gòu)成注入式攻擊。

3.

IP過濾技術(shù)

可以對指定的文件或目錄設(shè)置禁止或僅允許指定的IP訪問，對于經(jīng)常攻擊服務(wù)器的IP可以將其加入黑名單。4.8系統(tǒng)關(guān)鍵技術(shù)4.日志分析與數(shù)據(jù)統(tǒng)計(jì)

查看被防篡改系統(tǒng)阻止掉的惡意攻擊和阻止上傳非法文件的記錄，根據(jù)我們攔截的數(shù)據(jù)自動生成分析報(bào)表，供管理員查看。

5.訪問文件類型過濾根據(jù)規(guī)則庫的設(shè)置，屏蔽對指定類型文件的訪問。

6.防緩沖區(qū)溢出對提交給WebServer的數(shù)據(jù)長度進(jìn)行檢測，一旦數(shù)據(jù)長度超過了規(guī)則設(shè)定的長度，數(shù)據(jù)將被丟棄。7.上傳文件過濾針對網(wǎng)站程序的上傳漏洞，對用戶上傳的文件進(jìn)行過濾，禁止上傳、修改、刪除asp、jsp、php等類型的惡意腳本。4.9系統(tǒng)特點(diǎn)高效性

本系統(tǒng)運(yùn)行于WEB服務(wù)器內(nèi)部，部分?jǐn)?shù)據(jù)直接從服務(wù)器程序獲取，避免了對數(shù)據(jù)的重復(fù)解析，系統(tǒng)核心模塊采用C\C++開發(fā)，能夠有效節(jié)省檢測時(shí)間。易用性包含簡單易用的配置程序，安裝完成后會自動針對WEB服務(wù)器生成默認(rèn)配置，使用者可以方便的對配置進(jìn)行修改。無需用戶設(shè)置復(fù)雜的過濾規(guī)則。使用者可以直接在遠(yuǎn)程通過瀏覽器查看應(yīng)用防火墻日志。易部署直接在服務(wù)器上安裝即可。

4.10系統(tǒng)特點(diǎn)安全性對于攻擊者提交的惡意數(shù)據(jù)及時(shí)攔截并記錄，防止惡意數(shù)據(jù)到達(dá)WEB應(yīng)用程序。對于WEB程序的重要資源，如管理后臺，ACCESS數(shù)據(jù)庫等，采用訪問限制與訪問認(rèn)證雙重手段進(jìn)行保護(hù)，認(rèn)證過程無需安裝第三方軟件，僅通過瀏覽器即可完成。瀏覽者對WEB服務(wù)器的資源只有讀取權(quán)限，管理員如需發(fā)布資源需要經(jīng)過認(rèn)證才能獲取讀寫權(quán)限。攻擊者即使發(fā)現(xiàn)WEB網(wǎng)站漏洞也無法成功利用，只要其未經(jīng)過認(rèn)證，對網(wǎng)站資源就只有讀取權(quán)限并且無法訪問管理后臺，無法上傳后門，無法對網(wǎng)站進(jìn)行破壞。

4.11軟件/硬件優(yōu)劣對比硬件

軟件部署難易程度網(wǎng)絡(luò)部署。需重新規(guī)劃網(wǎng)絡(luò)地址；需針對每個特定網(wǎng)站配置個性化策略。主機(jī)布置。無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)單點(diǎn)故障存在單點(diǎn)故障，負(fù)載高和網(wǎng)關(guān)攻擊。無單點(diǎn)故障，負(fù)載合理。技術(shù)支持視地區(qū)而定。本地維護(hù)，簡化工作量全面檢測對Https無法檢測，不支持SSL處理。SSL的處理（注入攻擊）準(zhǔn)確檢測不支持大數(shù)據(jù)包的請求分包組合。大數(shù)據(jù)包請求，分包的組合行為檢測不支持對用戶和進(jìn)程的識別。無進(jìn)程，用戶，文件的語義。對用戶和進(jìn)程識別。將特定的用戶和權(quán)限綁定。漏洞檢測不支持服務(wù)器漏洞配置。如：權(quán)限，列目錄木馬檢