网站防篡改系统 介绍

网站防篡改系统介绍武汉和迅计算机工程公司网站防篡改系统

一. 网站现状分析二.攻击防范方法三. 和迅产品介绍一网站安全现状Web应用成为热门的攻击对象根据权威机构GartnerGroup最新的调查结果表明，目前针对网络的各类攻击中，有75％以上是针对Web应用而发起的。由于缺乏有效的防护手段，这种针对Web应用的攻击逐渐成为黑客发动攻击的首选途径。Web应用得以迅速发展，得益于Internet的迅猛发展和Web浏览器的日益普及。但是这种普及是一把双刃剑，在各种Web应用不断涌现的同时，Web应用遭受攻击的机会也大大地增加了。1.1网站安全所面临的形势网站被篡改的影响导致网站终止，服务不能正常开展对企业形象和政府信誉带来极其不好的影响网站被篡改的普遍性2007-8-13日联合国网站被篡改。秘书长潘基文发表声明的网页遭到篡改。今年5月，爱沙尼亚的银行、政府部门网站曾经遭到过有组织的攻击。荆州市商务局首页领导图片被换。美国总统布什前任反恐顾问说，国际社会必须协调行动才能保护互联网免受黑客攻击。1.2国内网站被篡改的情况网站被频繁入侵，不仅极大影响了企业的形象，也体现出我国在信息发展中遇到严重的安全隐患。1.3网站被篡改的原因客观原因：操作系统和应用的复杂性，导致系统漏洞层出不穷。虽然有防火墙、入侵检测；但是这些产品都是基于特定端口的，无法理解协议的具体内容。网站容易被篡改的主观原因：网站建设与保护措施建设不同步。还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。1.4网络层技术不能解决问题安全现状：1、每个人都可能成为黑客（自动化攻击工具）2、Web平台漏洞百出（平台更新，开发者不注重安全）3、各种攻击手段层出不穷（Top10攻击手段）

现有网络设备不能解决问题1、现有的安全设备不能解决问题2、网络防火墙对于SSL数据流无能为力3、即使普通的编码技术，都能轻易突破网络防火墙4、网络防火墙不能适应日益增多的应用5、传统的安全设备不能防范未知类型的攻击6、网络防火墙提供的应用层防护形同虚设

二Web安全威胁与防范方法

各类应用攻击分类及其危害分析网站攻击的动机、阶段和目标网络攻击发展趋势常见攻击与防范方法2.1各类应用攻击分类及危害分析最危险的应用威胁清单Cross-SiteScriptingSQLInjectionCommandInjectionCookie/SessionPoisoningParameter/FormTamperingBufferOverflowDirectoryTraversal/ForcefulBrowsingCryptographicInterceptionCookieSnoopingAuthenticationHijackingLogTamperingErrorMessageInterceptionAttackObfuscationApplicationPlatformExploitsDMZProtocolExploitsSecurityManagementAttacksWebServicesAttacksZeroDayAttacksNetworkAccessAttacksTCPFragmentationDenialofService

对业务影响:销售收入下降舞弊交易

非法数据侵入数据窃取及修改客户身份丢失客户服务中断

恢复及清除成本

客户信心下降及丢失2.2网站攻击的动机、阶段和目标

技术炫耀

政治颠覆

经济利益

数据操纵

系统访问

提升权限

拒绝服务收集信息

公开的数据来源

扫描和探测实际攻击阶段

网络渗透

DoS/DDoS攻击

带宽消耗

主机资源消耗分析信息和准备攻击

正在使用的服务

已知操作系统或应用漏洞

已知网络协议的安全脆弱性

网络拓扑2.3网络攻击的发展趋势

网络攻击的发展趋势:

技术炫耀型转向利益驱动型。网络攻击的组织性、趋利性、专业性和定向性逐步加强。为获得经济利益的恶意代码和在线身份窃取成为主流。瞄准特定用户群体的定向化信息窃取和威胁。2.4常见攻击与防范方法常见攻击应对手段SQL注入攻击:

攻击者通过提交包含SQL语句的数据到WEB服务器，进而对网站的数据库执行操作，从而达到入侵目的。如获取管理员用户名和密码，添加、修改或删除数据，执行某些存储过程等。防SQL注入:

本系统通过对用户提交的数据进行分析可以有效的防止SQL注入攻击。安装本系统之后SQL防注入功能自动启动，无需使用者设置关键字或正则表达式等过滤规则。使用者可以在远程通过浏览器查看日志或在服务器上使用配置工具GateConfig查看攻击日志。上传漏洞:由于Web应用程序的上传页面未对用户身份进行认证即允许用户上传文件，攻击者可利用此漏洞上传脚本木马。

上传文件过滤:

本功能可限制用户上传的文件类型，防止攻击者上传脚本木马（如上传asp、php、jsp等类型的木马）。(可以对指定目录或类型文件进行例外)2.5常见攻击与防范方法常见攻击应对手段弱口令攻击:由于管理后台的用户名和密码过于简单，或使用了默认的用户名和密码，攻击者可以轻易进入后台从而对网站造成破坏。访问认证:

对于一些重要的目录，如管理员后台可能需要重点保护，可以通过访问认证完成此任务。

缓冲区溢出攻击:缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。防止缓冲区溢出:本系统会对提交给WebServer的数据长度进行检测，一旦数据长度超过了规则设定的长度，数据将被丢弃。2.6常见攻击与防范方法常见攻击应对手段跨站攻击:跨站攻击是指Web应用程序未经适当过滤便将用户提交的信息原样显示在页面上，当用户浏览该页面时即会遭到跨站攻击。跨站脚本攻击检查:对指定的文件类型进行参考开始路径的检查。

旁注攻击:一台服务器上通常存在多个WEB站点。如果攻击者意图入侵某网站，从该网站正面程序入手没有机会时，就可以通过域名查找功能得到这个网站所在的虚拟主机中的其他网站，并尝试入侵这些网站，然后上传木马进而控制整个虚拟主机，而这样也就达到了入侵目标网站的目的上传文件过滤:

本功能可限制用户上传的文件类型，防止攻击者上传脚本木马（如上传asp、php、jsp等类型的木马）。(可以对指定目录或类型文件进行例外)禁止列目录和屏蔽服务器信息

HTTP方法检查产品介绍4.1H-infoweb安全防范体系攻击者建模：阻止已知攻击行为和探测活动.脆弱性建模阻止针对系统和应用漏洞的攻击活动。防护性建模建立合法的资源访问模式。对进出的资源进行主动防护。应急性响应连续保护和容灾备份：对系统的活动进行记录，还原攻击过程。应急恢复、审计分析、事件关联。4.2网站防篡改系统部署图FirewallInternetUser/AttackerWebServersApplicationServersDatabaseFileServer产品1：应用防火墙前端防御产品2：网站防篡改深度防御4.3系统组成系统配置模块

用于设置规则库,开启或关闭各检测模块.该配置模块只有拥有管理员权限帐号才能使用.过滤防护模块

该模块运行在WEB服务器内部,能够实时检测用户提交给WEB服务器的数据,在恶意数据被网站程序执行之前及时阻止并记录攻击来源.日志查看模块

管理员可通过日志查看模块方便的查看攻击日志.4.4系统功能内核防篡改功能防止SQL注入式攻击防止缓冲区溢出支持URL过滤禁止下载指定类型文件可以对指定站点指定相应规则

支持请求内容类型过滤防止非法执行脚本

文件保护功能防止假冒文件上传可提供对任何文件的访问认证防脚本木马文件上传、修改、删除等操作支持对文件的实时监控支持文件上传类型过滤支持文件上传目录过滤

支持对服务器所有文件目录里的木马进行分析查找4.5系统功能安全认证功能提供对网页访问或后台登录时的身份认证可以对网站进行IP访问限制可以对文件和目录进行访问认证

安全防御功能

支持对服务器信息隐藏和屏蔽

支持对站点的匿名账户进行安全检测禁止列目录

屏蔽服务器错误信息可继承的细粒度配置4.6系统功能日志审计功能文件篡改日志查看

攻击日志查看

数据统计功能

受攻击网站统计分析攻击IP统计分析

支持攻击趋势分析查询，支持文件导出打印

4.7系统关键技术读写分离技术

使普通用户对Web服务器资源只有读取权限，只有通过认证的用户才拥有读写权限。只要未通过认证，即使攻击者发现网站存在的漏洞，也无法篡改网站文件。

2.

sql防注入技术

对来自于客户的Web访问请求进行分析，检查其中的表单输入和URL输入中是否含有非法字符/关键字构成注入式攻击。

3.

IP过滤技术

可以对指定的文件或目录设置禁止或仅允许指定的IP访问，对于经常攻击服务器的IP可以将其加入黑名单。4.8系统关键技术4.日志分析与数据统计

查看被防篡改系统阻止掉的恶意攻击和阻止上传非法文件的记录，根据我们拦截的数据自动生成分析报表，供管理员查看。

5.访问文件类型过滤根据规则库的设置，屏蔽对指定类型文件的访问。

6.防缓冲区溢出对提交给WebServer的数据长度进行检测，一旦数据长度超过了规则设定的长度，数据将被丢弃。7.上传文件过滤针对网站程序的上传漏洞，对用户上传的文件进行过滤，禁止上传、修改、删除asp、jsp、php等类型的恶意脚本。4.9系统特点高效性

本系统运行于WEB服务器内部，部分数据直接从服务器程序获取，避免了对数据的重复解析，系统核心模块采用C\C++开发，能够有效节省检测时间。易用性包含简单易用的配置程序，安装完成后会自动针对WEB服务器生成默认配置，使用者可以方便的对配置进行修改。无需用户设置复杂的过滤规则。使用者可以直接在远程通过浏览器查看应用防火墙日志。易部署直接在服务器上安装即可。

4.10系统特点安全性对于攻击者提交的恶意数据及时拦截并记录，防止恶意数据到达WEB应用程序。对于WEB程序的重要资源，如管理后台，ACCESS数据库等，采用访问限制与访问认证双重手段进行保护，认证过程无需安装第三方软件，仅通过浏览器即可完成。浏览者对WEB服务器的资源只有读取权限，管理员如需发布资源需要经过认证才能获取读写权限。攻击者即使发现WEB网站漏洞也无法成功利用，只要其未经过认证，对网站资源就只有读取权限并且无法访问管理后台，无法上传后门，无法对网站进行破坏。

4.11软件/硬件优劣对比硬件

软件部署难易程度网络部署。需重新规划网络地址；需针对每个特定网站配置个性化策略。主机布置。无需调整网络结构单点故障存在单点故障，负载高和网关攻击。无单点故障，负载合理。技术支持视地区而定。本地维护，简化工作量全面检测对Https无法检测，不支持SSL处理。SSL的处理（注入攻击）准确检测不支持大数据包的请求分包组合。大数据包请求，分包的组合行为检测不支持对用户和进程的识别。无进程，用户，文件的语义。对用户和进程识别。将特定的用户和权限绑定。漏洞检测不支持服务器漏洞配置。如：权限，列目录木马检