网页防篡改技术说明书
网页防篡改软件又称网站恢复软件,是用于保护网页文件,防止黑客篡改网页(篡改后可自动恢复)的软件。网页防篡改系统所需要保护的网页,可以归结于保护文件(无论是静态网页文件还是脚本文件)和保护数据库。实现对网页文件的完整性检查和保护,并达到防护效果,即被篡改网页不可能被访问到。
公众浏览到的Web网页可以分成静态网页和动态网页,静态网页是Web服务器上的网页文件(如HTML文件)直接反馈给公众;动态网页是Web服务器上的脚本文件(如JSP文件)经过执行后,将其执行的结果反馈给公众,脚本通常会读取数据库中的数据,因此最后生成的网页可以认为是脚本文件和数据库内容的综合。
网页防篡改技术归纳列举如下:
1. 定时循环扫描技术
定时循环扫描技术也称为“外挂轮询”,(安全机房租用联系QQ:404634181,电话:18300003210)该技术在程序中按用户设定的间隔对网站目录进行定时扫描比对,如果发现篡改,就用备份进行恢复。这是早期使用的技术,因为比较落后已经被淘汰了,原因是现在的网站少则几千个文件,大则几万几十万个文件,采用定时循环扫描不仅需要耗费大量的时间,还会严重影响服务器性能。在扫描的间隙或者扫描过程中,如果有文件被二次篡改,那么在下次循环扫描到该文件之前,文件就一直是被篡改的,公众访问到的也将是被篡改的网页,这是一段“盲区”,“盲区”的时长由网站文件数量、磁盘性能、CPU性能等众多客观因素来决定。
2.事件触发技术
事件触发技术使用程序对网站目录进行实时监控,文件系统稍有变动就进行检查是否为非法篡改。事件触发技术是目前主流的防篡改技术之一,该技术以稳定、可靠、占用资源极少著称,其原理是监控网站目录,如果目录中有篡改发生,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否是非法篡改,如果是非法篡改就立即给予恢复。该技术是典型的“后发制人”,即非法篡改已经发生后才可进行恢复。其安全隐患有三:
2.1 如果黑客采取“连续篡改”的攻击方式,则很有可能永远也无法恢复,公众看到的一直是被篡改的网页。因为篡改发生后,防篡改程序才尝试进行恢复,这有一个系统延迟的时间间隔,而“连续篡改”攻击则是对一个文件进行每秒上千次的篡改,如此一来,“后发制人”的方式永远也赶不上“连续篡改”的速度。
2.2如果文件被非法篡改后立即被恶意劫持,则防篡改进程将无法对该文件进行恢复。
2.3目录监控的安全性受制于防篡改监控进程的安全性,如果监控进程被强行终止,则防篡改功能就立刻消失,网站目录就又面临被篡改的危险。
3.核心内嵌(数字水印)技术
核心内嵌技术在用户请求访问网页之后,系统正式提交网页内容给用户之前,对网页进行完整性检查。核心内嵌技术是目前的主流技术之一,该技术以无进程、篡改网页无法流出、使用密码学算法作支撑而著称,其原理是对每一个流出的网页进行数字水印(也就是HASH散列)检查,如果发现当前水印和之前记录的水印不同,则可断定该文件被篡改,并且阻止其继续流出,并传唤恢复程序进行恢复。即使黑客该技术的特点通过各种各样未知的手段篡改了网页文件,被篡改的网页文件也无法流出而被公众访问到。
该技术的安全隐患有三:
3.1市面上“数字水印”的密码学算法,大都使用MD5散列算法,该散列算法由于网上到处都有现成的代码可以直接拷贝,而且在计算100KB以内的小文件时速度可以忍受,因而之前在密码存储和文件完整性校验方面广为运用。但是,在2004年我国密码学家山东大学的王小云教授攻破了包括这一算法在内的多种密码学算法,使得伪造出具有相同数字水印而内容截然不同的文件立刻成为了现实,她的研究成果在国际密码学界引发了强烈“地震”。当“数字水印”技术使用一个已被攻破的脆弱算法时,其安全性也就轰然倒塌了。
3.2 “数字水印”技术在计算大于100KB大小的文件“指纹”时,其速度将随着文件的增大而逐步下降到让人无法忍受的地步,因此大多数产品都会默认设置一个阈值,当文件大小超过阈值时不进行数字水印检查规则。如此一来,黑客只要把非法篡改文件的大小调整到阈值以上,就可以让非法文件自由流出了,这又是一个潜在的巨大安全隐患。“数字水印”技术安全隐患的根本成因是密码学水印算法的安全性,以及水印算法速度与公众访问网页速度的矛盾。比数字水印技术更安全的是基于公私钥(如RSA2048,ECC196等)密码学的数字签名技术,数字签名技术不但可以检验文件是否被篡改(完整性),还可以确定文件来源(不可抵赖性)。
3.3 计算每个请求文件的水印散列,必须将计算水印散列的功能模块插入到web服务软件中,也就是说基于核心内嵌技术的防篡改产品,关键点就在于向web服务软件中插入了计算水印散列模块,一旦计算水印散列模块被卸载,那么防篡改功能将立即消失,被篡改网页就可以随意流出被公众浏览到。
4. 文件过滤驱动技术
文件过滤驱动技术采用系统底层文件过滤驱动技术,拦截与分析IRP流。文件过滤驱动技术是新兴的一种防篡改技术,其原理是采用操作系统底层文件过滤驱动技术,拦截与分析IRP流,对所有受保护的网站目录的写操作都立即截断,与“事件触发技术”的“后发制人”相反,该技术是典型的“先发制人”,在篡改写入文件之前就阻止。该技术安全隐患有三:
4.1 基于实际应用中各种复杂环境与因素的考虑,操作系统的设计者在系统内核底层设计了多种可以读写文件的方式,相关数据流不单单是走文件过滤驱动这一条线。网络上大家常用的各种“文件粉碎机”强制删除顽固文件就是基于相关原理的。
4.2 文件路径表示除了正常的方式之外,还可以用DOS8.3文件路径表示法,当文件名的长度超过8个字符时,就可以用DOS8.3路径表示,e.g.假设D盘下有一个文件 123456789.txt,那么该文件的全路径可以表示为:D:S456789.txt,或者用DOS8.3的格式表示为:D:S4567~1.txt。也就是说,如果一个攻击者要篡改D:S456789.txt,那么他输入路径D:S4567~1.txt也一样可以访问文件并进行篡改。因此网页防篡改系统必须要能抵御DOS8.3文件路径方式的攻击。
4.3 如果操作系统存在默认共享,文件路径表示除了上述方法之外,还可以用网络路径表示法,并且任意文件、任意文件名长度的都适用。e.g.
假设D盘下有一个文件 index.html,那么该文件的全路径可以表示为:D:index.html,或者用网络路径格式表示为:\127.0.0.1D$index.html。也就是说,如果一个攻击者要篡改D:index.html,那么他输入路径\127.0.0.1D$index.html也一样可以访问文件并进行篡改。因此网页防篡改系统必须要能抵御网络路径路径方式的攻击。
