企業(yè)網(wǎng)頁如果一旦被篡改，其后果是難以預計的。不僅影響了正常的訪問，而且可能還會引起客戶信譽的丟失。防護未知攻擊是難的，但看好我自己的網(wǎng)頁是相對容易的。因此，人們最先想到的就是網(wǎng)頁防篡改技術(shù)，保持自己的網(wǎng)頁不受侵害，起碼對社會不會造成大危害。網(wǎng)頁被篡改產(chǎn)品出現(xiàn)在Web早期，幾經(jīng)風雨，各廠家技術(shù)逐漸統(tǒng)一。

網(wǎng)頁防篡改產(chǎn)品的部署：建立一臺單獨的管理服務(wù)器(Web服務(wù)器數(shù)量少可以省略)，然后在每臺Web服務(wù)器上安裝一個Agent程序，負責該服務(wù)器的“網(wǎng)頁文件看護”，管理服務(wù)器是管理這些Agent看護策略的。

a)第一代技術(shù)

把Web服務(wù)器主目錄下的文件做一個備份，用一個定時循環(huán)進程，把備份的文件與服務(wù)使用的文件逐個進行比較，不一樣的就用備份去覆蓋。網(wǎng)站更新發(fā)布時，則同時更新主目錄與備份。這種方法在網(wǎng)站大的情況下，網(wǎng)頁數(shù)量巨大，掃描一遍的時間太長，并且對Web服務(wù)器性能也是擠占。

b)第二代技術(shù)

采用了Hash算法，對主目錄下的每個文件做Hash，生成該文件的“指紋”，定時循環(huán)進程直接計算服務(wù)用文件的Hash指紋，然后進行指紋核對，指紋一般比較小，比較方便;指紋具有不可逆的特點，不怕仿制。

c)第三代技術(shù)

既然網(wǎng)站上頁面太多，三級以下頁面的訪問量，一般使用呈指數(shù)級下降，沒人訪問當然也不會被篡改，在這些頁面重復掃描是不劃算的。改變一下思路：對文件讀取應(yīng)該沒有危險，危險的是對文件的改寫操作。若只對文件被改變時才做檢查，就可以大大降低對服務(wù)器資源的占用;具體做法是：開啟一個看守進程，對Web服務(wù)器的主目錄文件刪改操作進行監(jiān)控，發(fā)現(xiàn)有此操作，判斷是否有合法身份，是否為授權(quán)的維護操作，否則阻斷其執(zhí)行，文件不被改寫，也就起到了網(wǎng)頁防篡改的目的。這個技術(shù)也稱為事件觸發(fā)防篡改。

這種技術(shù)需要考驗對服務(wù)器操作系統(tǒng)的熟悉程度，但黑客也是高手，你的看護進程是用戶級的，黑客可以獲得高級權(quán)限，繞過你的“消息鉤子”，監(jiān)控就成了擺設(shè)。

d)第四代技術(shù)

既然是比誰的進程權(quán)限高，讓操作系統(tǒng)干這個活兒，應(yīng)該是最合適的，黑客再牛也不可能越過操作系統(tǒng)自己“干活”。因此，在Windows系統(tǒng)中，提供系統(tǒng)級的目錄文件修改看護進程(系統(tǒng)調(diào)用)，防篡改產(chǎn)品直接調(diào)用就可以了，或者利用操作系統(tǒng)自身的文件安全保護功能，對主目錄文件進行鎖定(Windows對自己系統(tǒng)的重要文件也采取了類似的防篡改保護，避免病毒的侵擾)，只允許網(wǎng)站發(fā)布系統(tǒng)(網(wǎng)頁升級更新)才可以修改文件，其他系統(tǒng)進程也不允許刪改。

這個方法應(yīng)該說比較徹底，但可以看出，以后防篡改技術(shù)將成為操作系統(tǒng)的“專利”了，安全廠家實在是不愿意看到的。好在目前Linux還沒有支持。

網(wǎng)頁防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的都是保障網(wǎng)頁文件的完整性。

網(wǎng)頁防篡改對保護靜態(tài)頁面有很好的效果，但對于動態(tài)頁面就沒有辦法了，因為頁面是用戶訪問時生成的，內(nèi)容與數(shù)據(jù)庫相關(guān)。很多SQL注入就是利用這個漏洞，可以繼續(xù)入侵Web服務(wù)器。

到目前為止，很多網(wǎng)頁防篡改產(chǎn)品中都提供了一個IPS軟件模塊，用來阻止來針對Web服務(wù)的SQL注入、XML注入攻擊。如國內(nèi)廠家的WebGuard、iGuard、InforGuard等產(chǎn)品。
 

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時代下的企業(yè)Web安全
4. 概述網(wǎng)頁掛馬原理與危害
5. 網(wǎng)頁掛馬之我的前生今世