網站防篡改系統介紹武漢和迅計算機工程公司網站防篡改系統

一. 網站現狀分析二.攻擊防范方法三. 和迅產品介紹一網站安全現狀Web應用成為熱門的攻擊對象根據權威機構GartnerGroup最新的調查結果表明，目前針對網絡的各類攻擊中，有75％以上是針對Web應用而發起的。由于缺乏有效的防護手段，這種針對Web應用的攻擊逐漸成為黑客發動攻擊的首選途徑。Web應用得以迅速發展，得益于Internet的迅猛發展和Web瀏覽器的日益普及。但是這種普及是一把雙刃劍，在各種Web應用不斷涌現的同時，Web應用遭受攻擊的機會也大大地增加了。1.1網站安全所面臨的形勢網站被篡改的影響導致網站終止，服務不能正常開展對企業形象和政府信譽帶來極其不好的影響網站被篡改的普遍性2007-8-13日聯合國網站被篡改。秘書長潘基文發表聲明的網頁遭到篡改。今年5月，愛沙尼亞的銀行、政府部門網站曾經遭到過有組織的攻擊。荊州市商務局首頁領導圖片被換。美國總統布什前任反恐顧問說，國際社會必須協調行動才能保護互聯網免受黑客攻擊。1.2國內網站被篡改的情況網站被頻繁入侵，不僅極大影響了企業的形象，也體現出我國在信息發展中遇到嚴重的安全隱患。1.3網站被篡改的原因客觀原因：操作系統和應用的復雜性，導致系統漏洞層出不窮。雖然有防火墻、入侵檢測；但是這些產品都是基于特定端口的，無法理解協議的具體內容。網站容易被篡改的主觀原因：網站建設與保護措施建設不同步。還有些網站雖然在接到報告后能夠恢復，但并沒有根除安全隱患，從而遭到多次篡改。1.4網絡層技術不能解決問題安全現狀：1、每個人都可能成為黑客（自動化攻擊工具）2、Web平臺漏洞百出（平臺更新，開發者不注重安全）3、各種攻擊手段層出不窮（Top10攻擊手段）

現有網絡設備不能解決問題1、現有的安全設備不能解決問題2、網絡防火墻對于SSL數據流無能為力3、即使普通的編碼技術，都能輕易突破網絡防火墻4、網絡防火墻不能適應日益增多的應用5、傳統的安全設備不能防范未知類型的攻擊6、網絡防火墻提供的應用層防護形同虛設

二Web安全威脅與防范方法

各類應用攻擊分類及其危害分析網站攻擊的動機、階段和目標網絡攻擊發展趨勢常見攻擊與防范方法2.1各類應用攻擊分類及危害分析最危險的應用威脅清單Cross-SiteScriptingSQLInjectionCommandInjectionCookie/SessionPoisoningParameter/FormTamperingBufferOverflowDirectoryTraversal/ForcefulBrowsingCryptographicInterceptionCookieSnoopingAuthenticationHijackingLogTamperingErrorMessageInterceptionAttackObfuscationApplicationPlatformExploitsDMZProtocolExploitsSecurityManagementAttacksWebServicesAttacksZeroDayAttacksNetworkAccessAttacksTCPFragmentationDenialofService

對業務影響:銷售收入下降舞弊交易

非法數據侵入數據竊取及修改客戶身份丟失客戶服務中斷

恢復及清除成本

客戶信心下降及丟失2.2網站攻擊的動機、階段和目標

技術炫耀

政治顛覆

經濟利益

數據操縱

系統訪問

提升權限

拒絕服務收集信息

公開的數據來源

掃描和探測實際攻擊階段

網絡滲透

DoS/DDoS攻擊

帶寬消耗

主機資源消耗分析信息和準備攻擊

正在使用的服務

已知操作系統或應用漏洞

已知網絡協議的安全脆弱性

網絡拓撲2.3網絡攻擊的發展趨勢

網絡攻擊的發展趨勢:

技術炫耀型轉向利益驅動型。網絡攻擊的組織性、趨利性、專業性和定向性逐步加強。為獲得經濟利益的惡意代碼和在線身份竊取成為主流。瞄準特定用戶群體的定向化信息竊取和威脅。2.4常見攻擊與防范方法常見攻擊應對手段SQL注入攻擊:

攻擊者通過提交包含SQL語句的數據到WEB服務器，進而對網站的數據庫執行操作，從而達到入侵目的。如獲取管理員用戶名和密碼，添加、修改或刪除數據，執行某些存儲過程等。防SQL注入:

本系統通過對用戶提交的數據進行分析可以有效的防止SQL注入攻擊。安裝本系統之后SQL防注入功能自動啟動，無需使用者設置關鍵字或正則表達式等過濾規則。使用者可以在遠程通過瀏覽器查看日志或在服務器上使用配置工具GateConfig查看攻擊日志。上傳漏洞:由于Web應用程序的上傳頁面未對用戶身份進行認證即允許用戶上傳文件，攻擊者可利用此漏洞上傳腳本木馬。

上傳文件過濾:

本功能可限制用戶上傳的文件類型，防止攻擊者上傳腳本木馬（如上傳asp、php、jsp等類型的木馬）。(可以對指定目錄或類型文件進行例外)2.5常見攻擊與防范方法常見攻擊應對手段弱口令攻擊:由于管理后臺的用戶名和密碼過于簡單，或使用了默認的用戶名和密碼，攻擊者可以輕易進入后臺從而對網站造成破壞。訪問認證:

對于一些重要的目錄，如管理員后臺可能需要重點保護，可以通過訪問認證完成此任務。

緩沖區溢出攻擊:緩沖區溢出是一種非常普遍、非常危險的漏洞，在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊，可以導致程序運行失敗、系統當機、重新啟動等后果。更為嚴重的是，可以利用它執行非授權指令，甚至可以取得系統特權，進而進行各種非法操作。防止緩沖區溢出:本系統會對提交給WebServer的數據長度進行檢測，一旦數據長度超過了規則設定的長度，數據將被丟棄。2.6常見攻擊與防范方法常見攻擊應對手段跨站攻擊:跨站攻擊是指Web應用程序未經適當過濾便將用戶提交的信息原樣顯示在頁面上，當用戶瀏覽該頁面時即會遭到跨站攻擊。跨站腳本攻擊檢查:對指定的文件類型進行參考開始路徑的檢查。

旁注攻擊:一臺服務器上通常存在多個WEB站點。如果攻擊者意圖入侵某網站，從該網站正面程序入手沒有機會時，就可以通過域名查找功能得到這個網站所在的虛擬主機中的其他網站，并嘗試入侵這些網站，然后上傳木馬進而控制整個虛擬主機，而這樣也就達到了入侵目標網站的目的上傳文件過濾:

本功能可限制用戶上傳的文件類型，防止攻擊者上傳腳本木馬（如上傳asp、php、jsp等類型的木馬）。(可以對指定目錄或類型文件進行例外)禁止列目錄和屏蔽服務器信息

HTTP方法檢查產品介紹4.1H-infoweb安全防范體系攻擊者建模：阻止已知攻擊行為和探測活動.脆弱性建模阻止針對系統和應用漏洞的攻擊活動。防護性建模建立合法的資源訪問模式。對進出的資源進行主動防護。應急性響應連續保護和容災備份：對系統的活動進行記錄，還原攻擊過程。應急恢復、審計分析、事件關聯。4.2網站防篡改系統部署圖FirewallInternetUser/AttackerWebServersApplicationServersDatabaseFileServer產品1：應用防火墻前端防御產品2：網站防篡改深度防御4.3系統組成系統配置模塊

用于設置規則庫,開啟或關閉各檢測模塊.該配置模塊只有擁有管理員權限帳號才能使用.過濾防護模塊

該模塊運行在WEB服務器內部,能夠實時檢測用戶提交給WEB服務器的數據,在惡意數據被網站程序執行之前及時阻止并記錄攻擊來源.日志查看模塊

管理員可通過日志查看模塊方便的查看攻擊日志.4.4系統功能內核防篡改功能防止SQL注入式攻擊防止緩沖區溢出支持URL過濾禁止下載指定類型文件可以對指定站點指定相應規則

支持請求內容類型過濾防止非法執行腳本

文件保護功能防止假冒文件上傳可提供對任何文件的訪問認證防腳本木馬文件上傳、修改、刪除等操作支持對文件的實時監控支持文件上傳類型過濾支持文件上傳目錄過濾

支持對服務器所有文件目錄里的木馬進行分析查找4.5系統功能安全認證功能提供對網頁訪問或后臺登錄時的身份認證可以對網站進行IP訪問限制可以對文件和目錄進行訪問認證

安全防御功能

支持對服務器信息隱藏和屏蔽

支持對站點的匿名賬戶進行安全檢測禁止列目錄

屏蔽服務器錯誤信息可繼承的細粒度配置4.6系統功能日志審計功能文件篡改日志查看

攻擊日志查看

數據統計功能

受攻擊網站統計分析攻擊IP統計分析

支持攻擊趨勢分析查詢，支持文件導出打印

4.7系統關鍵技術讀寫分離技術

使普通用戶對Web服務器資源只有讀取權限，只有通過認證的用戶才擁有讀寫權限。只要未通過認證，即使攻擊者發現網站存在的漏洞，也無法篡改網站文件。

2.

sql防注入技術

對來自于客戶的Web訪問請求進行分析，檢查其中的表單輸入和URL輸入中是否含有非法字符/關鍵字構成注入式攻擊。

3.

IP過濾技術

可以對指定的文件或目錄設置禁止或僅允許指定的IP訪問，對于經常攻擊服務器的IP可以將其加入黑名單。4.8系統關鍵技術4.日志分析與數據統計

查看被防篡改系統阻止掉的惡意攻擊和阻止上傳非法文件的記錄，根據我們攔截的數據自動生成分析報表，供管理員查看。

5.訪問文件類型過濾根據規則庫的設置，屏蔽對指定類型文件的訪問。

6.防緩沖區溢出對提交給WebServer的數據長度進行檢測，一旦數據長度超過了規則設定的長度，數據將被丟棄。7.上傳文件過濾針對網站程序的上傳漏洞，對用戶上傳的文件進行過濾，禁止上傳、修改、刪除asp、jsp、php等類型的惡意腳本。4.9系統特點高效性

本系統運行于WEB服務器內部，部分數據直接從服務器程序獲取，避免了對數據的重復解析，系統核心模塊采用C\C++開發，能夠有效節省檢測時間。易用性包含簡單易用的配置程序，安裝完成后會自動針對WEB服務器生成默認配置，使用者可以方便的對配置進行修改。無需用戶設置復雜的過濾規則。使用者可以直接在遠程通過瀏覽器查看應用防火墻日志。易部署直接在服務器上安裝即可。

4.10系統特點安全性對于攻擊者提交的惡意數據及時攔截并記錄，防止惡意數據到達WEB應用程序。對于WEB程序的重要資源，如管理后臺，ACCESS數據庫等，采用訪問限制與訪問認證雙重手段進行保護，認證過程無需安裝第三方軟件，僅通過瀏覽器即可完成。瀏覽者對WEB服務器的資源只有讀取權限，管理員如需發布資源需要經過認證才能獲取讀寫權限。攻擊者即使發現WEB網站漏洞也無法成功利用，只要其未經過認證，對網站資源就只有讀取權限并且無法訪問管理后臺，無法上傳后門，無法對網站進行破壞。

4.11軟件/硬件優劣對比硬件

軟件部署難易程度網絡部署。需重新規劃網絡地址；需針對每個特定網站配置個性化策略。主機布置。無需調整網絡結構單點故障存在單點故障，負載高和網關攻擊。無單點故障，負載合理。技術支持視地區而定。本地維護，簡化工作量全面檢測對Https無法檢測，不支持SSL處理。SSL的處理（注入攻擊）準確檢測不支持大數據包的請求分包組合。大數據包請求，分包的組合行為檢測不支持對用戶和進程的識別。無進程，用戶，文件的語義。對用戶和進程識別。將特定的用戶和權限綁定。漏洞檢測不支持服務器漏洞配置。如：權限，列目錄木馬檢