第5章 基于内容的应用安全技术2网页防篡改技术

网页防篡改技术网页防篡改技术大多数网站的内容安全的监控还处于手工阶段，从而无法及时有效的侦测到网站被攻击，网页被篡改，从而造成不良的政治影响。另外，网站内部人员一旦疏忽发布了敏感信息，各监管部门又难以及时发现，这样必将造成重大损失。因此，对于影响力强，浏览人数众多的网站，特别是权威的政府和媒体网站来说，它们所发布的消息都是与普通老百姓的生活息息相关的，要是网站上哪一环节出了差错，势必对公众造成不良后果，这就需要一款专门的网页防篡改系统来保护自己网站和网页内容的安全。网页防篡改技术虽然目前已有防火墙、入侵检测等安全防范手段，但各类web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。据中国被黑站点统计系统数据分析，截至2006年7月25日10时，2006年登记在案的被篡改网站数量已达5304个(其中有很多网站是多次被篡改)，平均每天约有25个站点被篡改且被举报;又据CNCERT/CC(国家计算机网络应急技术处理协调中心)统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改……

Web网站攻击来源统计（资料来源：国家计算机网络应急技术处理协调中心)全年共有22万台境外主机曾对我国发动攻击07年中国大陆被篡改网页统计CNCERT/CC的2007年度安全报告2007年，CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，比2006年增加了1.5倍以上统计数据均基于报案事件，且只是网页被篡改，未报案、或者网站挂马事件不包含在其中。06年政府网站篡改情况（资料来源：国家计算机网络应急技术处理协调中心）政府门户网站的重要性政府门户网站成为政府应用信息技术履行职能的重要形式对促进政务公开，改进行政管理，提高行政效能具有重要意义互联网网站是电子政务建设的重要组成部分典型事件-国内中国青少年基金会网站武汉市武昌区政府网站《北京青年报》网络版陕西省公安厅广州市物价局江民网站、金山、神州数码吉林市政府网站……河南省人事厅&成都档案局遭入侵2006年11月6日，国家公务员报考确认时间，河南省人事厅网站（）的网上确认程序突然中断，造成问题的原因并非是考生同时登陆报名，而是由于黑客采用SQL注入的方式进行入侵

成都市档案局网站被黑客篡改成土耳其国旗的图片石家庄政府网攻击红十字会、地震局网站2008年5月18日下午，苏州市公安局网警支队接报：昆山市红十字会网站遭人攻击。警方立即组成专案组开展侦查，发现当日下午3时许，有人攻击窃取了这个网站后台管理账号和密码，将原网站页面替换成虚假页面，并在虚假页面上发布捐款账号。因有50多名网民浏览过这个诈骗网页，为避免群众受骗，警方及时将这个网站关闭。2008年6月，黑龙江、湖南、湖北等地个别不法分子利用互联网恶意篡改红十字会公布的募捐银行账号，企图吞噬善款。经缜密侦查，警方迅速将犯罪嫌疑人捉拿归案，对此类犯罪起到了极大的震慑作用。2008年5月29日晚上，黑客攻击了陕西地震信息网站，在网站首页上发布了“将有强烈地震发生”的虚假信息，陕西地震局紧急发布消息辟谣。28日晚陕西地震信息网遭遇了汶川地震以来的第一次黑客攻击，黑客在网站首页留下一条题为“网站出现重大安全漏洞”的信息，网站工作人员及时进行了处理。5月29日20时53分前后，陕西地震信息网再次遭到黑客袭击，网站主页上被发布了“23时30分陕西等地会有强烈地震发生”的虚假信息。很快，陕西省地震局的电话就被打“爆”了，很多市民急切的希望求证这一“消息”是否真实。2008年5月31日、6月1日、2日，广西地震局官方网站连续遭到黑客攻击。黑客篡改网站数据资料，发布近期将发生地震的虚假信息。典型事件-国外美国白宫主页美国司法部美国卫生部美国劳工部雅虎新闻网《今日美国报》主页韩国2300多个网站首页……网页篡改的动机和目的纯粹炫耀黑客技术增加自己网站点击率加入木马和病毒程序发布虚假信息获利骗取用户资料政治性的宣传网页篡改的特点和危害网页篡改的特点传播速度快、阅读人群多复制容易，事后消除影响难作案环境和工具相对简单预先检查和实时防范较难网页篡改的危害破坏政府和公共机构形象间接成为非法牟利的工具影响和谐社会的建设产生原因-客观操作系统的复杂性已公布超过1万多个系统漏洞漏洞与补丁系统漏洞从发现到被利用最短为5天系统补丁的平均发布时间为47天应用漏洞注入式攻击多个应用系统不同的开发者现有技术架构下，网站漏洞长期存在产生原因-主观密码管理合格密码：8位以上，定期改变35％的人与其他人共享密码67％的人用同一密码访问多个程序漏洞补丁定期更新上网控制钓鱼、木马、间谍软件为业务服务还是为安全服务？其它现状网站建设、维护力量薄弱很多网站没有专门的网站建设部门，多采用外包形式没有专门的维护人员的网站更是非常普遍，更别说安全人员的配备黑客的低门槛“职业”性质各种免费黑客工具泛滥黑客工具使用教程更是比比皆是甚至工具使用的视频教程也遍布互联网什么是网页防篡改系统网页防篡改系统是这样的一种网络安全软件，它实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护Web站点的数据安全。网页防篡改系统的核心技术有网站监控功能、网站发布功能、内容过滤功能及数字水印技术。网页防篡改技术的发展历程1.(起始点)人工对比检测人工对比检测，其实就是一种专门指派网络管理人员，人工监控需要保护的网站，一旦发现被篡改，然后以人力对其修改还原的手段。严格的说来，人工对比检测不能算是一种网页防篡改系统采用的技术，而只能算是一种原始的应对网页被篡改的手段。但是其在网页防篡改的技术发展历程中存在一段相当的时间;所以在这里我们把它作为网页防篡改技术发展的起始点，单独拿出来讲。这种手段非常原始且效果不佳，且不说人力成本较高，其最致命的缺陷在于人力监控不能达到即时性，也就是不能在第一时间发现网页被篡改也不能在第一时间做出还原，当管理人员发现网页被篡改再做还原时，被篡改的网页已在互联网存在了一段时间，可能已经被一定数量的网民浏览。网页防篡改技术的发展历程2.(第一代)时间轮巡技术时间轮巡技术(也可称为“外挂轮巡技术”)。我们在这里将其称为网页防篡改技术的第一代。从这一代开始，网页防篡技术已经摆脱了以人力检测恢复为主体的原始手段而作为一种自动化的技术形式出现。时间轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。但是，采用时间轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。此类应用在过去网页访问量较少，具体网页应用较少的情况下适用，目前网站页面通常少则上百页，检测轮巡时间更长，且占用系统资源较大，该技术逐渐被淘汰。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术所谓核心内嵌技术即密码水印技术，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比，如大小，页面生成时间等做判断，无法更准确的进行其它属性的判断。其最大的特点就是安全性相对外挂轮巡技术安全性大大提高，但不足是加密计算会占用大量服务器资源，系统反映较慢。核心内嵌技术就避免了时间轮巡技术的轮巡间隔这个缺点。但是由于这种技术是对每个流出网页都进行完整检查，占用巨大的系统资源，给服务器造成较大负载。且对网页正常发布流程作了更改，整个网站需要重新架构，增加新的发布服务器替代原先的服务器。随着技术发展以及网上各类应用的增多，对服务器的负载资源简直可以用“苛刻”来形容，任何占用服务器资源的部分都要淘汰，来确保网站的高访问效率，如此一来，内嵌技术(即密码技术)最终将被淘汰。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术核心内嵌技术:一个标准的Web服务器的体系结构如下图所示：网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术核心内嵌技术:Web服务器核心内嵌技术简称核心内嵌技术是指将安全模块内嵌在Web服务器软件（IIS/Apache/Weblogic/Websphere/…）中，这个模块针对不同的Web服务器软件使用相应的核心内嵌技术实现，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如图所示：网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术核心内嵌模块的优点

不存在独立的安全模块运行进程，入侵者无法找到和中止模块运行。精准理解和分析Web服务请求数据，进行充分可靠的安全检查。完全与Web服务的运行进程融合，稳定性和兼容性强。二进制代码，处理效率高，与应用系统使用的脚本语言无关。与操作系统及硬件无关，全面控制Web系统软件和服务。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术事件触发技术利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术(1)Web服务器与大楼

我们把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天在由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改系统的目标就是保证人们看到的是真实的画作，而不是赝品甚至反动宣传品。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术(2)外挂轮询技术大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较里进行检查，发现有可疑物品即进行报警。

这种方式的显著弱点是：当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术(3)事件触发技术

大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。

这种方式的显著优点是：防范成本很低，但缺点是：美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术(4)核心内嵌技术大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。

这种方式的显著优点是：每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能；相应弱点是，由于存在检查手续，画作在流出时会耽误时间。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

外挂轮询技术事件触发技术核心内嵌技术访问篡改网页可能可能不可能保护动态内容不能不能能服务器负载中低低带宽占用中无无检测时间分钟级秒级实时绕过检测机制不可能可能不可能防范连续篡改攻击不能不能能保护所有网页不能能能动态网页脚本不支持支持支持适用操作系统所有受限所有上传时检测不能受限能断线时保护不能不能能网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

访问被篡改网页外挂轮询技术：无法阻止公众访问到被篡改网页，它只能在被篡改后一段时间发现和进行恢复，因此公众有很大可能访问到被篡改网页。事件触发技术：将安全保障建立在“网页不可能被隐秘地篡改”这种假设上，因此也没有对网页流出进行任何检查，在一些情形下，公众是有可能访问到被篡改网页的。核心内嵌技术：守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改的网页被公众访问到，真正做到万无一失。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

保护动态内容外挂轮询技术：所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。事件触发技术：事件触发仅工作在操作系统层面上，未和Web服务器软件发生关联，因此无法获得用户的Web请求数据，对动态内容的篡改则是完全无能为力的。核心内嵌技术：内嵌于Web服务器软件内部，能够完全截获用户请求数据，通过阻挡对数据库的注入式攻击来保护动态网页内容的安全。

网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

服务器负载外挂轮询技术：由于从外部不断地和独立地扫描Web服务器文件，因此对Web服务器形成相当的负载，并且扫描频度（亦即安全程度）和负载总是矛盾的。事件触发技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，额外占用的服务器负载也基本上为零。核心内嵌技术：篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出网页文件后，由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生的负载是非常小的。

网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

带宽占用外挂轮询技术：从外部独立检测网页，因此需要占用访问的网络带宽。事件触发技术和核心内嵌技术：检测都在服务器本机上进行，不占用网络带宽。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

绕过检测机制外挂轮询技术：由外部主机进行，不可能绕过检测。事件触发技术：并不能确保捕获对文件的所有方式的修改（例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统。核心内嵌技术：整合在Web服务器软件里的，对每一个网页都进行篡改检查，不可能有网页绕过检测机制。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

连续篡改攻击有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。外挂轮询技术：由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使的扫描时间间隔设置得再小（例如1分钟），也无法阻止篡改后的网页被公众访问到。事件触发技术：对Web服务器软件没有控制能力，它发现篡改后没有办法去协调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。核心内嵌技术：在每次输出网页时都进行完整性检查，如有变化则阻断发送。因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

动态网页脚本目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。外挂轮询技术：所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。事件触发技术和核心内嵌技术：可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。网页防篡改技术的发展历程3.(第二代)事件触发技术&核心内迁嵌技术技术对比

断线时保护事件触发技术：如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。核心内嵌技术：即使在黑客中断了Web服务器和备份网页服务器连接的情况下，也可以阻止被篡改网页的流出，最大程度达到保证效果。

网页防篡改技术的发展历程4.(第三代)文件过滤驱动技术+事件触发技术文件过滤驱动技术的最初应用于军方和保密系统，作为文件保护技术和各类审计技术，甚至被一些狡猾好事者应用于“流氓软件”，该技术可以说是让人喜忧参半。在网页防篡改技术革新当中，该技术找到了其发展的空间。与事件触发技术结合，形成了今天的第三代网页防篡改保护技术。其原理是：将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。网页防篡改技术的发展历程4.(第三代)文件过滤驱动技术+事件触发技术何谓文件系统过滤驱动？文件系统过滤驱动是一种可选的，为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件，它作为WindowsNT执行体的一部分运行。

文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分，文件系统过滤驱动可以分成日志记录、系统监测、数