基于ISAPI过滤器的网页防篡改系统
网页防篡改措施
网页防篡改措施引言在当今互联网时代,网页的防篡改措施变得尤为重要。
网页被篡改可能导致信息泄露、恶意软件传播等严重后果,对于企业和个人而言,都是巨大的威胁。
因此,采取有效的防篡改措施成为保障网页安全的关键之举。
1. 使用 HTTPS 加密连接HTTPS(HyperText Transfer Protocol Secure)是一种通过使用 SSL 或 TLS 加密传输数据的安全协议。
通过使用HTTPS,可以保护网页数据的机密性和完整性。
使用 HTTPS 可以有效防止黑客对数据进行篡改和窃取,因为数据在传输过程中被加密,传输过程中的中间人攻击被大大降低。
2. 使用数字签名数字签名是一种用于验证电子文档真实性和完整性的技术。
网页发布者可以使用私钥对网页进行数字签名,让用户使用相应的公钥来验证网页的真实性。
当网页被篡改时,数字签名会失效,从而提示用户网页内容可能被篡改。
3. 引入内容安全策略(CSP)内容安全策略 (Content Security Policy,简称 CSP) 是一种帮助网站管理员减少或防止那些存在安全风险的内容(如跨站脚本攻击XSS和数据注入等)的攻击的方法。
通过明确告知浏览器可信赖的内容来源,CSP 可以帮助网页防御恶意脚本的注入,并减少数据篡改的可能性。
4. 安全编码安全编码是指在开发网页时遵循一系列安全规则和最佳实践,以防止常见的安全漏洞。
例如,避免使用动态 SQL 语句,以防止 SQL 注入攻击;过滤用户输入,以防止跨站脚本攻击等。
安全编码的实践可以大大降低网页程序被攻击的风险。
5. 定期备份和监测定期备份网页数据是防止网页篡改的重要措施之一。
在网页被篡改后,及时恢复到最新一次备份的版本可以最大程度地减少损失。
此外,监测网页的变化也是重要的,可以及时发现网页被篡改的迹象并采取相应的措施。
6. 安全更新和修补程序及时更新和修补网页使用的软件和插件是防止网页被黑客攻击的重要步骤。
黑客通常会利用已知的安全漏洞来篡改网页或者进行其他恶意行为。
网页防篡改系统技术指标要求
网页防篡改系统技术指标要求
1、产品描述
2、功能指标
⏹杜绝网站向外发送被篡改的页面内容;
⏹检测模块内嵌于Web服务器软件中;
⏹可检测静态页面/动态脚本/多媒体文件;
⏹可以按不同容器选择待检测的网页;
⏹网页发布同时自动更新水印值;
⏹网页发送时比较网页和水印值;
⏹★能够防范SQL注入式攻击;
⏹★支持增强型事件触发技术;
⏹支持断线/连线状态下篡改检测;
⏹支持连线状态下网页恢复;
⏹网页篡改时多种方式报警;
⏹能够保护动态脚本文件;
⏹同步和断线时都不影响检测;
⏹不影响原有的网页发布系统;
⏹自动检测文件系统任何变化;
⏹文件变化自动同步到多个Web服务器;
⏹支持虚拟目录/虚拟主机;
⏹可选支持双机冗余部署。
⏹支持各种私钥的硬件存储,如PKCS#11和CSP两种接口形式的任何密码设备
⏹支持使用外接安全密码算法⏹支持多种页面包含文件方式⏹支持短信接口
3、性能指标。
网页防篡改系统
1.1 网页防篡改系统1.1.1系统概述随着各类机构的计算及业务资源逐渐向其数据中心高度集中,WEB成为一种普遍适用的平台,越来越多地承载了各类机构的核心业务,如电子政务、电子商务等。
当前网络上75%的攻击是针对WEB 应用的,这些攻击可致网站遭受声誉损失、经济损失甚至政治影响。
广西新闻出版局政务网站也将面临各类安全威胁,高效保障网站应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性至关重要。
传统安全设备(防火墙/IPS)解决WEB应用安全问题存在局限性,而整改网码因需要付出较高代价而较难实现。
网页防篡改系统能够提供WEB应用安全防护功能,防御SQL注入、XSS及跨站请求伪造(CSRF)攻击;防御常规盗链和分布式盗链、恶意扫描;提供Cookie 安全机制,防止Cookie中敏感信息泄露,以及Cookie篡改;提供服务器信息伪装/过滤,避免出错信息暴露网站敏感信息,为攻击者利用、提升攻击成功概率等功能。
1.1.2WEB攻击方式常见的WEB攻击,分为两类:一是利用WEB服务器的漏洞进行攻击,如CGI缓冲区溢出、目录遍历漏洞利用等攻击;二是利用WEB 网页自身的安全漏洞进行攻击,如SQL注入、跨站脚本攻击等。
常见的针对网页即WEB应用的攻击有:⏹缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令⏹Cookie假冒——精心修改cookie数据进行用户假冒⏹认证逃避——攻击者利用不安全的许可证和身份管理⏹非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据⏹强制访问——访问未授权的网页⏹隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序⏹拒绝服务攻击——构造大量的非法请求,使WEB服务器不能响应正常用户的访问⏹跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户账号等信息⏹SQL注入——构造SQL代码让服务器执行,获取敏感数据本系统部署在WEB应用服务器前端,其设计目标为:准确监测、识别各类针对WEB应用的攻击型流量并进行实时阻断,缓解针对WEB应用的DDoS(Distributed Denial of Service)攻击,利用缓冲技术实现WEB内容篡改防护和WEB加速,提供实时的、深度的、主动的安全防御,为广西新闻出版局提供了一个完善的WEB应用防护解决方案。
网页防篡改系统iGuard
后续工作:安装完发布服务器后,需要在Web服务器上安装同步服务器。为保证通信体的身份鉴别,安装同步服务器时需要发布服务器的证书摘要数据文件,这个文件的位置在:
2、在打开的窗口中鼠标右击“默认Web站点”,选择“属性”菜单。
3、在出现的“默认Web站点属性”窗口中,选择“网站”标签,设置Web服务器的IP地址。
4、“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:\Inetpub\Wwwroo”,你可根据需要自己设置。
5、在属性窗口处选择“文档”标签,添加自己默认的网站首页文件,
2.内容保护过程
(1)浏览器发出网页浏览请求,Web服务器取得网页内容后,交给防篡改模块进行监测。
(2)防篡改模块使用安全散列函数计算出欲发出的网页的数字水印,并与安全数据库中的数字水印相比对。
(3)如果没找到数字水印或数字水印比对失败,即是可疑或被非法篡改的网页,防篡改模块向发布服务器报警。
(4)发布服务器向发送警告信息给管理员,并重新同步和恢复可疑网页。
第九步:完成
发布服务器的基本配置至此完成,单击“完成”进入主程序。
第十步:启用防篡改模块iGuard
防篡改模块是作为IIS的ISAPI筛选器来运行。
在IIS中添加它的步骤如下:
1.运行“开始→程序→管理工具→Internet服务管理器”(或“开始→设置→控制面板→管理工具→Internet服务管理器”),选中本地计算机(图中为“COMPUTER”)中要保护的Web服务器(图中为“默认网站”)。
基于ISAPI过滤器的网页防篡改系统
基于ISAPI过滤器的网页防篡改系统
龙夏;凌军;汤彪;方麟
【期刊名称】《合肥学院学报(自然科学版)》
【年(卷),期】2010(020)003
【摘要】首先分析了几种常用网页防篡改技术的特点,然后提出并实现了一种基于ISAPI过滤器的网页防篡改系统.该网页防篡改系统可以高效地监控网页内容的变化,对于被篡改的网页文件能在其被用户访问之前自动加以恢复,使用该系统能方便网站的管理,并能帮助网站管理员及时地了解网站信息.
【总页数】4页(P40-43)
【作者】龙夏;凌军;汤彪;方麟
【作者单位】合肥学院,计算机科学与技术系,合肥,230601;合肥学院,计算机科学与技术系,合肥,230601;合肥学院,计算机科学与技术系,合肥,230601;合肥学院,计算机科学与技术系,合肥,230601
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于网页对比的校园二级网站防篡改监控系统的设计与实现 [J], 鲁寅辉;高珺
2.基于 ISAPI 过滤器的 Web 防护系统 [J], 池阳;高健;周福才
3.基于事件驱动的一种网页防篡改系统 [J], 王娜;关放;牛余朋;刘曼曼;孙星星
4.基于爬虫和网页防篡改的高校门户网站群预警监控系统构建 [J], 王宁邦;徐博
5.基于云平台的网页防篡改技术在Linux操作系统中的应用 [J], 严竞雄;唐日成;王岩;陈浩;姜智钟;黄加
因版权原因,仅展示原文概要,查看原文内容请购买。
【附】各种网页防篡改技术比较
网页防篡改产品比较一、网页防篡改产品的技术要求1.Web 应用的基本架构Web 应用是由动态脚本语言(如ASP 、JSP 和PHP 等)和编译过的代码等组合而成。
它通常架设在W eb 服务器上,用户在W eb 浏览器上发送请求,这些请求使用HTTP 协议,经过因特网或内部网络与企业的W eb 应用交互,由W eb 应用与企业后台的数据库及其他动态内容通信。
尽管不同的企业会有不同的 W eb 环境搭建方式,一个典型的 Web 应用通常是标准的三层架构模型,如图示1-1所示。
图示 一-1 标准Web 应用架构在这种最常见的模型中,客户端是第一层;使用动态W eb 技术的部分属于中间层;数据库是第三层。
用户通过W eb 浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
中间层 数据层客户端2.黑客篡改网页的手段网站的网页之所以存在被篡改的可能性,有客观和主观两方面的原因。
就客观而言,因为存在以下原因,现有技术架构下网站漏洞将长期存在:⏹Web平台的复杂性⏹操作系统复杂性:已公布超过2万多个系统漏洞。
一个漏洞从发现到被利用平均为5天,而相应补丁的发布时间平均为47天。
⏹Web服务器软件漏洞:IIS、Apache、Tomcat、W eblogic都存在大量的已知漏洞,同时每天都有大量的新漏洞被报出。
⏹第三方软件漏洞:由各类软件厂商提供的第三方软件存在各种漏洞。
⏹应用系统漏洞:各种注入式攻击漏洞,多个应用系统不同的开发者。
就主观而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现:⏹密码管理:合格密码需要8位以上复杂字符并定期改变。
⏹配置管理:严格的、细粒度的权限控管;严谨的报错处理;配置文件、系统文件的管理等等。
⏹漏洞补丁:操作系统、中间件、应用系统的定期更新。
⏹上网控制:钓鱼、木马、间谍软件。
1)传统安全设备Web网站通常使用了防火墙和IDS/IPS等网络安全设备来保护自身的安全,如图示1-2所示。
网页防篡改系统
HUISIN 网页防篡改系统技术白皮书第1 章技术背景 (4)1.1 什么是网页防篡改系统 (4)1.1.1 网站篡改原因 (5)1.1.2 网络安全设备 (5)1.1.3 专业网页防篡改系统 (6)第2 章技术原理 (7)2.1 PKI 公开密钥体系 (7)2.1.1 PKI (7)2.1.2 防篡改 (7)2.1.3 防窃听 (7)2.1.4 身份鉴别 (8)2.2 Web 系统核心内嵌技术 (8)2.2.1 核心内嵌模块的位置 (8)2.2.2 应用防护模块 (9)2.2.3 篡改检测技术......................................................... 1..1第3 章产品规格 ................................................................... 1..2.3.1 产品组成 ................................................................... 1..2.3.1.1 两台服务器........................................................... 1..23.1.2 发布服务器........................................................... 1..23.1.3 Web 服务器.......................................................... 1..33.2 平台支持 ................................................................... 1..3.3.2.2 Web 服务器端......................................................... 1..43.3 产品型号 ................................................................... 1..4. 第4 章产品部署..................................................................... 1..6.4.1 标准部署 ................................................................... 1..6.4.1.1 内容管理系统.......................................................... 1..64.1.2 部署示例.............................................................. 1..74.1.3 无内容管理系统........................................................ 1..94.1.4 更复杂的部署情形...................................................... 1..94.2 冗余部署 ................................................................... 2..0.4.2.1 概况.................................................................. 2..04.2.2 Web 服务器集群....................................................... 2..14.2.3 发布服务器双机........................................................ 2..2 第5 章技术实现..................................................................... 2..3.5.1 内部结构 ................................................................... 2..3.5.1.1 逻辑组成.............................................................. 2..35.2 核心技术 ................................................................... 2..4.5.2.1 实现原理.............................................................. 2..45.2.2 核心优势.............................................................. 2..55.2.3 关键流程.............................................................. 2..85.3 双引擎防护.................................................................. 2..95.4 安全技术 ................................................................... 2..9.5.4.1 安全传输 ............................................................ 2..95.4.3 自动同步 ............................................................ 2..95.4.4 部署方便 ............................................................ 3..05.4.5 硬件支持 ............................................................ 3..0 第6 章功能和性能.................................................................... 3..16.1 功能列表 ................................................................... 3..1.6.1.1 篡改检测和恢复 ...................................................... 3..16.1.2 自动发布和恢复 ...................................................... 3..1第1章技术背景1.1 什么是网页防篡改系统HUISIN 网页防篡改系统是完全保护Web 网站不发送被篡改内容并进行自动恢复的Web 页面保护软件。
网页防篡改系统
中创网页防篡改产品优势
资质最全
公安部计算机信息系统安全专用产品销售许可证 涉密信息系统产品检测证书
中国国家信息安全产品认证证书(3C)
国家信息安全评测中心检测证书 计算机软件著作权登记证书
中创网页防篡改产品优势
• 大品牌值得信赖:中国著名中间件产品提供商多年持续创新精心铸就,中国 计算机学会计算机安全专业委员会认定的唯一中国信息安全值得信赖网页防 篡改产品品牌,产品获取多项殊荣;
防止SQL注入攻击 防止XSS跨站攻击 防止系统命令执行 防止暴力猜解数据库 防止构造危险的Cookie 防止网站挂马攻击 ……
特征库 Web服务器
第二重防护-篡改实时阻断
• 设置白名单和黑名单进程,白名单进程进行的操作放行,黑名单进程进行 的操作直接阻止并报警
网站实体文件
白名单进程操作
黑名单进程操作
Web应用服务器
第三重防护-篡改实时恢复
• 监控文件变化,文件篡改立即恢复,并进行报警
网站实体文件
篡改
恢复 通知
Web应用服务器
第四重防护-实时校验恢复
对访问的页面进行数字水印比较,合法的页面展示,篡改的页面阻止访问 ,立即恢复并进行报警。
网站实体文件
访问请求
被篡改文件 正确文件
√ X
Not Found
Linux服务器集群 AIX服务器集群 中心机房 交换机
网站维护人员
工作人员
客户案例-中国移动
产品部署架构图
中国移动网页防篡改产品集采入 围,中创网页防篡改排名第一
客户案例——广东发展银行
产品部署示图
网页防篡改 网页防篡改/应用防火墙
...
HTTPServer集群
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加以恢复,使用该 系统能方便 网站 的管理 ,并 能帮助 网站管理 员及 时地 了解 网站信 息.
关键词 :网页 防篡 改系统 ;ISAPI过滤器 ;信息安全 ;事件触发
中 图分 类 号 :TP393.08
文 献标 识 码 :A
文 章 编 号 :1673—162X(2Байду номын сангаас10)03—0040—0 4
随着 Internet技 术 的飞速发 展和 13趋成 熟 ,互联 网应用 13益深 入 和普 及 ,各行 各 业 甚 至 日常 生 活 中信 息 的获 取越来 越依 赖互联 网 ,虽然 目前 已有 防火墙 、入侵 检 测等 安 全 防范 手段 ,但 由于 操作 系统 的 复杂 性 和多样 性导致 系统 漏洞层 出不 穷 ,防不胜 防 ,黑客入 侵 和篡改 页面 的事件 时有 发生 .根据 2008年初 国家 计 算 机 网络应急 技术 处理协 调 中心 (简称 CNCERT/CC)的统 计 报告 ,在所 有 造 成严 重 危 害 的 网络 攻击 事 件 中 ,网页 篡 改事 件 占到 74%.如果 网页被 篡改 而 不能 及 时发 现并 修 复 ,将 造 成 木 马病 毒传 播 、机 密数 据 泄 露 、非授权 文件 被公 开浏 览 、非法 信 息被公 开发 布等诸 多 不 良后 果 ,不仅 严 重影 响 网 站用 户 的社 会 声誉 和 公共 形象 ,还可 能会 给用 户带来 难 以挽 回的经 济损失 ,因此 网页防篡 改 系统对 于构建 完善 的网络安 全体 系 具有 重要 意义 .…
The W eb Page Anti-tamper System Based on ISAPI Filter
LONG Xia,LIN Jun,TANG Biao,FANG Lin (Department of Conputer Science and Technology,Hefei University,Hefei 230601,China)
(合肥学院 计算机科学与技术系 ,合肥 230601)
摘 要 :首先分析 了几种常用 网页防篡改技术 的特 点,然 后提 出并 实现 了一种基于 ISAPI过滤器 的 网页防篡 改
系统.该 网页防篡 改系统可 以高效地监控 网页 内容 的变化 ,对于被篡 改的 网页文件 能在其 被用 户访 问之前 自动
企 肥 学统 学报 (自然科学版)
2010年 8月 第 2O卷 第 3期
Journal of He University(Natural Sciences)
Aug. 2010 Vo1.20 No.3
基 于 ISAPI过 滤 器 的 网 页 防篡 改 系统
龙 夏 ,凌 军 ,汤 彪 ,方 麟
收稿 日期 :2010—05—04 修 回 日期 :2010—07—10 基金项 目:合肥学院科研发展基金计 划项 目(08KY008ZR)基金资助. 作者简介 :龙 夏(1982一 ),男 ,湖南吉首人 ,合肥学院计算机科学与技术系助教 ;研究 方向 :测控系统
第 3期
龙 夏 ,等 :基于 ISAPI过滤器 的网页防篡 改系统
41
蔽 、报 警 和 日志记 录 . 1.3 事件触 发技 术
利 用操 作 系统 的文件 系统接 口 ,对监 控端机 器 的事 件特 别 是新 增 、删 除 和修 改 操 作进 行 监 测 ,在 网页 文件 被修改 时进 行合 法性 检查 ,对 于非法 操作进 行 报警 和恢 复. 1.4 三种技 术 比较
Abstract:The paper firstly compares the common technologies for W eb page anti—tamper system ,then proposes and realizes a W eb page anti-tamper system based on ISAPI filter,which can monitor the changes of W eb page files eficiently and take measures to restore the tampered W eb pages file before they have been visited. In addition,the web page anti—tam per system proposed in this paper can help the Website manager promptly obtains the W ebsite information,thus working more efficiently. Key words:W eb page anti-tamper system ;ISAPI filter;information security;event—trigger
1 网页 防篡 改 系统 技 术
1.1 外挂 轮询 技术 利用一个网页检测程序 ,以轮询方式读 出要监控的网页,通过与真实网页相 比较来判断网页内容是否
已被 篡改 ,并对 被篡改 的 网页进行 报 警和恢 复 . 1.2 核心 内嵌 技 术
将 防篡 改检 测模块 内嵌 于 Web服 务器 引擎 里 ,在 每 一个 网页 流 出时 都 进行 完 整 性检 查 ,对 于 对被 篡 改 的网页进行 报警 和恢 复 .同时 ,对于 涉及 到关键 词 、敏 感词 的数 据流 出请求 ,检 测 模 块 也 可 实 现及 时屏