前幾天聽到一位測評師小姐姐說:“現(xiàn)在網(wǎng)頁防篡改很重要�,如果這個不符合,等級保護測評基本就過不了�����,可以一票否決����。”
我當時聽了還小驚訝了一下�����,沒想到現(xiàn)在網(wǎng)頁防篡改被提高到這么高的高度了,畢竟這個在等保相關(guān)標準中也沒有明提����。不過既然有機構(gòu)提出這個不成文的判定規(guī)則,說明網(wǎng)頁防篡改還是比較重要�����,那我今天就來說一下網(wǎng)頁防篡改��。
網(wǎng)頁防篡改就是防止非授權(quán)人員對頁面和內(nèi)容進行篡改���,很好理解?���,F(xiàn)在很多政府單位的網(wǎng)站尤其重視這個���,官方門臉兒網(wǎng)站出了幺蛾子誰都吃不消�。
有的朋友會問�����,有WAF不能替代網(wǎng)頁防篡改的功能嗎�?
答案是還真不能���,因為WAF也是可以被繞過的啊。
那么網(wǎng)頁防篡改的原理是什么呢�����?
基本原理就是對Web服務器上的目錄下文件進行監(jiān)控�,發(fā)現(xiàn)有問題就及時恢復。也就是說有兩大功能:事前的監(jiān)控預防和事后的快速恢復�。
那怎么發(fā)現(xiàn)問題呢?以前一般有兩種機制:
1����、時間輪詢�����,對需要保護的文件進行備份���,然后使用輪詢的方法進行比較��,如果發(fā)現(xiàn)Web服務器上的文件與備份的不一致��,就使用備份覆蓋網(wǎng)站文件����。
2、通過事件觸發(fā)�����,由守護進程監(jiān)控對受保護文件的操作行為�����,如果發(fā)現(xiàn)了改變等行為�,就對操作進行阻斷。
圖1 網(wǎng)頁防篡改系統(tǒng)部署示意圖
如圖1所示��,我們可以這樣部署網(wǎng)頁防篡改系統(tǒng)保護網(wǎng)站����,正常的管理用戶操作修改的是發(fā)布服務器上的文件,然后通過同步軟件更新到Web服務器上��。而這個Web服務器通過防篡改軟件的控制����,只接受同步進程的修改,不接受其他的修改�����。這樣就能夠達到防止非授權(quán)操作的目的。
當然����,現(xiàn)在這個技術(shù)已經(jīng)不斷發(fā)展了,想想����,如果一個大型網(wǎng)站有幾百萬個網(wǎng)頁,輪詢起來還讓不讓“輪詢軟件”大哥活了�����,何況�,就算“輪詢軟件”大哥是一個勞模,時間也太長了����。
于是��,我又研究了一下���,找到兩個技術(shù)��,一個是密碼水印技術(shù)����,一個是文件底層過濾驅(qū)動技術(shù)。
密碼水印技術(shù):在html文件發(fā)布時加上水印���,每次網(wǎng)頁讀取流出時��,通過在web服務器的解析程序篡改檢測模塊進行水印檢查�。[1]
文件底層過濾驅(qū)動技術(shù):是通過在webServer中安裝監(jiān)測程序�,只允許合法的應用新增、修改文件����,一旦發(fā)現(xiàn)異常文件屬性變化,馬上用備份端的文件覆蓋��?����;谠摲椒?���,所有對Web服務器上文件的訪問都需要經(jīng)過防篡改軟件的安全過濾�����。通過底層文件驅(qū)動技術(shù)����,整個文件復制過程毫秒級�,其所消耗的內(nèi)存和CPU占用率也遠遠低于其他防篡改技術(shù),是一種簡單�、高效、安全性又極高的一種防篡改技術(shù)��。
這兩個技術(shù)我把參考鏈接附在下面了�,感興趣的可以再去查查看看。
嗯�,也許現(xiàn)在還有很多網(wǎng)頁防篡改的方法,如果你有方法��,可以留言分享�����,謝謝���。
THE END
參考:
【1】https://baijiahao.baidu.com/s?id=1705078265348702750&wfr=spider&for=pc
該文章在 2024/4/19 18:08:49 編輯過
400 186 1886
