网页防篡改技术白皮书

网页防篡改技术白皮书内容摘要：

能被输出，被篡改的非法网页将被锁定，不会被用户看见。 网页篡改事件被检测到后，将触发网页恢复操作，还原被修改的页面。 ② 存储检测技术 内核防篡改模块。 位于操作系统的文件驱动层 之上 ，通过对指定的文件夹进行实时监控，发现非法更改，对修改动作进行阻止，并记录非法修改网页的进程、 IP 地址、内容。 通过对进程和 IP 地址进行合法性检查 ，保证正常更新能够进行，非法修改能被识别。 用户可以指定需要防篡改的目录和对该目录有正常使用权限的 (进程名称、访问 IP 地址 ). 动态页面安全防护技术 ① 动态 脚本扫描 检查技术 减少动态脚本中的安全漏洞。 降低攻击者通过脚本进行 SQL 注入式攻击和缓冲区溢出攻击成功的机会。 脚本扫描模块， 位于发布服务器上，接受用户制作的脚本和页面。 对用户发布的脚本网页进行安全性检查，识别不安全因素。 减少 因为脚本漏洞和不安全导致的篡改行为。 ② 动态脚本防注入式攻击技术 SQL 防注入攻击模块。 位于 Web 服务器和用户接口之间，对用 户输入的请求做执行前的检查。 防范利用动态页面漏洞，而形成的攻击。 JHData WebDefender 网页防篡改 技术白皮书 武汉江翰科技有限公司 Tel： 02752108568 13072777189 公司网址： 7 第三章 网页防篡改系统设计方案 网页防篡改系统部署方法 网页防篡改系统部署方法如图 所示。 图 网页防篡改系统部署图 实际使用中，网页防篡改系统通常需要部署在两台机器上： Web 服务器和发布服务器。 发布服务器：位于内网中，有着较高的安全防护级别，其上运行自动发布程序和管理子系统。 Web 服务器：位于公网 /DMZ 中，容易受到篡改攻击，其上运行页面保护子系统（防篡改模块）和同步服务器程序。 网 页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行，变更的手段可以是任意方式的（例如： FTP、 SFTP、 RCP、 NFS、文件共享等）。 网页变更后，由自动发布子系统将其同步到 Web 服务器上。 该 系统可与政府网站内容管理系统（ CMS）分开部署，也可与网站内容管理系统部署在一台机器上。 网页防篡改系统逻辑结构 网页防篡改系统主要由网页防篡改服务器及 Web 服务器组成，如图 所示。 JHData WebDefender 网页防篡改 技术白皮书 武汉江翰科技有限公司 Tel： 02752108568 13072777189 公司网址： 8 图 网页防篡改系统组成图 页面保护子系统 页面保护子系统包括 嵌入式防篡改模块 和 内核防篡改模块。 嵌入式防篡改模块内嵌在 Web 服务器软件里，作为 WEB 服务器的服务组件运行。 子系统依据不同的 Web 服务器使用不同的内嵌技术实现，例如： ISAPI、 ApacheModule、 NSAPI、JAVAclass 等。 嵌入式防篡改模块对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。 嵌入式防篡改模块还提供基于特征的 SQL 注入攻击检测子模块，完成输入检测，识别和阻止攻击行为。 内核 防篡改模块，该模块驻留于 Windows/Linux 服务器操作系统内核，使得大部分常规篡改手段失效。 位于操作系统的文件驱动层之上，通过对指定的文件夹进行实时监控，发现非法更改，对修改动作进行阻止，并记录非法修改网页的进程、 IP 地址、内容。 通过对进程和 IP 地址进行合法性检查，保证正常更新能够进行，非法修改能被识别。 自动发布子系统 自动发布子系统负责页面的自动发布以及页面被篡改后的自动恢复，由发送端和接收端组成：发送端位于发布服务器上，称之为自动发布程序；接收端位于 Web 服务器上，称之为同步服务器。 在正常发布网页时，自动发布程序监测到文件系统变化即计算该文件水印，并进行 SSL发送，同步服务器接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里；所有合法网页的增加、修改和删除都通过自动发布子系统进行。 对于动态数据库更新，网页防篡改 监控管理子系统 页面保护子系统（防篡改模块） 自动发布程序 同步服务器 内核防篡改模块 嵌入式防篡改模块 网页防篡改服务器 WEB 服务器 CMS 服务器 1n JHData WebDefender 网页防篡改 技术白皮书 武汉江翰科技有限公司 Tel： 02752108568 13072777189 公司网址： 9 发布系统捕获数据库更改，并将 CMS 数据库中的内容同步到 Web 数据库中，保证用户访问到最新的内容。 对于动态脚本，系统采用脚本扫描技术，识别脚本中的安全漏洞，保证脚本发布的质量。 监控管理子系统 负责网页被篡改后的自动恢复，也提供系统管理员的使用界面，对整 个系统进行管理控制。 其功能包括：手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。 网站备份子系统 负责网站的备份恢复，提供对 WEB 服务器上的系统、文件和数据库的综合保护， web 服务器出现故障时，系统能够提供裸机系统恢复和快速修复能力。 JHData WebDefender 网页防篡改 技术白皮书 武汉江翰科技有限公司 Tel： 02752108568 13072777189 公司网址： 10 第四章 网页防篡改系统实现方案 本系统主要包括五个模块：页面保护子系统、网页发布与 同步子系统、监控子系统和系统备份子系统组成。 系统的工作流程如图 所示。 图 网页防篡改系统设计图 网页发布管理流程 所有网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行。 发布服务器上具有与 Web 服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件 /目录的变化都会自动和立即地反映到 Web。