网页防篡改网站应用安全防护系统是一套用于Web系统安全防护的软件系统。网页防篡改系统采用B/S架构进行设计(同时具备C/S版本),需要安装客户端软件在防护的Web系统主机之上。
网页防篡改系统的防护功能主要由安装在Web服务器上的客户端实现,分为两大模块:静态防护模块及动态防护模块。静态防护模块负责对网站服务器上的文件内容部分进行防护,而动态防护模块负责对访问提交数据进行防护。不同于传统的防篡改软件,网页防篡改系统不仅重视对网站文件内容的保护,同时极大的增强了对访问提交数据的审计功能(目前威胁较大的SQL注入攻击、XSS跨站攻击等均属于利用提交数据进行的攻击)。另外,网页防篡改系统使用了全新的触发式同步引擎,能够更好的完成实时增量同步,包证了网站系统发布更新的稳定。
对于当代的操作系统来说,所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的驱动部分来进行,也仅有驱动层才能最终将要进行的文件操作传达给磁盘存储设备,从而读取或改变其内容。通过嵌入并控制这条唯一的途径,网页防篡改系统可以捕获所有的磁盘文件操作请求,从而对其进行审计。当驱动层接收到一个进行文件操作的请求,如读取、修改、删除等时,就产生一个文件操作事件,该事件将使系统的状态参数发生变化并最终指挥磁盘及其他设备协同完成任务。当操作系统产生一个磁盘文件操作事件时,网页防篡改系统就能够通过文件驱动层捕获这一事件,通过识别其是否针对被保护路径,进行相应的放行或阻止操作。
网页防篡改系统可以根据设定的防护路径对其下的所有文件及路径进行保护,也可根据设置对其中的部分文件及路径进行保护。当有任何软件程序、进程企图对磁盘上该路径下的被保护文件或路径进行修改、删除或新增等操作时,相应的操作被发送到主机操作系统,而网页防篡改系统会在这时进行合法性检测。系统默认针对原始网站路径的任何修改操作均为非法,也可设定放行进程(只允许特定进程修改文件)。
由于任何对磁盘上文件进行的操作都是经过操作系统来进行的,网页防篡改系统利用这一特性,在系统驱动层拦截所有针对被保护路径的修改、删除与新增等磁盘操作,进行合法性检测,从而达到对网页文件篡改的检测及处理目的。
静态防护(针对文件)
对于当代的操作系统来说,所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的驱动部分来进行,也仅有驱动层才能最终将要进行的文件操作传达给磁盘存储设备,从而读取或改变其内容。通过嵌入并控制这条唯一的途径,网页防篡改系统可以捕获所有的磁盘文件操作请求,从而对其进行审计。当驱动层接收到一个进行文件操作的请求,如读取、修改、删除等时,就产生一个文件操作事件,该事件将使系统的状态参数发生变化并最终指挥磁盘及其他设备协同完成任务。当操作系统产生一个磁盘文件操作事件时,网页防篡改系统就能够通过文件驱动层捕获这一事件,通过识别其是否针对被保护路径,进行相应的放行或阻止操作。
网页防篡改系统可以根据设定的防护路径对其下的所有文件及路径进行保护,也可根据设置对其中的部分文件及路径进行保护。当有任何软件程序、进程企图对磁盘上该路径下的被保护文件或路径进行修改、删除或新增等操作时,相应的操作被发送到主机操作系统,而网页防篡改系统会在这时进行合法性检测。系统默认针对原始网站路径的任何修改操作均为非法,也可设定放行进程(只允许特定进程修改文件)。
由于任何对磁盘上文件进行的操作都是经过操作系统来进行的,网页防篡改系统利用这一特性,在系统驱动层拦截所有针对被保护路径的修改、删除与新增等磁盘操作,进行合法性检测,从而达到对网页文件篡改的检测及处理目的。
动态防护(针对web访问提交数据)
目前的网站系统普遍使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网站系统一般由网页脚本和内容组成:网页脚本以文件形式存在于Web 服务器上;网页内容则取自于数据库。
网页防篡改系统的动态防护模块采用核心内嵌技术,与Web服务(IIS、Tomcat、Apache等)紧密结合,能够捕获所有的Web连接请求,可以对用户提交的数据内容及访问请求进行合法性检测,支持对 SQL 注入(盲注)攻击、XSS跨站攻击等各种利用访问提交数据的攻击方式的检测,对其进行过滤与保护。动态防护模块内嵌于Web服务,能够对所有用户访问提交数据进行黑名单方式过滤,将包含攻击特征的请求进行过滤或完全阻断,从而实现对数据库及动态应用的保护。以注入攻击为例,由用户提交的包含非法数据库查询、更新、删除语句等特征的攻击请求将被阻止,而正常的交互操作则不受影响
连续篡改攻击防护
对于大规模连续的篡改,网页防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时,需要每次通过应用层插件计算校验匹配,由于不能阻止篡改发生,这些软件需要不停的重复恢复原始网页内容,极大的占用系统资源和网络资源,并可能造成显示错误页给访问用户。
网站访问保障
网页防篡改系统对原有网站的正常浏览访问不造成任何影响。首先,对于页面文件来说,一般正常的访问不会导致网站页面的更改,而网页防篡改系统只有在检测到有对页面文件进行修改的行为时才会对该行为进行拦截,而其他的系统操作与网页防篡改系统无关,不受影响。假如网站使用特定的内容发布系统,则可在网页防篡改系统中进行相应设置,对该发布系统进程产生的文件操作不做检测直接放行,从而不会对原有发布流程产生任何影响。因此,正是由于网页防篡改系统采用了事件触发式的运作方式,才保证了对服务器的资源耗用始终保持在极低的水平。
其次,网页防篡改系统不会占用对外连接数及网络带宽,因此不会消耗访问资源。增量发布更新
网页防篡改系统在安装后会默认对任何修改网站文件内容的操作进行阻止,因此,网站的发布更新一般在同步路径完成。网页防篡改集成了同步发布更新功能。该功能采用先进的触发式算法将同步路径下的文件内容自动增量同步到网站原始路径,无须人工干预。正是由于网页防篡改系统基于操作系统文件驱动层的事件触发机制,保证了自动增量同步功能的高效可靠。当针对备份路径的文件内容进行修改时,网页防篡改系统可以通过驱动层截获这一请求,在操作完成后可以自动将修改的部分增量同步到网站原始路径。这样保证了网站原始路径及备份路径内容的一致性,也实现了对备份路径进行发布时,自动增量同步至原始路径的功能。
另外,根据原有的更新方式,网页防篡改系统可以做出相应设置以进行适应,达到尽量不改变发布操作流程的效果。比如,安装网页防篡改系统之前使用FTP方式更新文件,那么在网页防篡改系统中就可以设定将FTP进程的所有操作放行。这样就使得只有通过FTP方式进行的文件更新才是合法的,而通过其他的方式进行的更新操作都是非法的。网页防篡改目前可以针对大部分的网站更新方式做出适应,包括主流的内容发布系统、FTP上传、控制台更新等。日志告警
一旦系统监测到非法操作行为,网页防篡改系统立即以预设的告警方式通知相关维护人员,告警方式包括邮件,控制台,短信(短信报警需具备短信发送装置)及Syslog日志传输方式等。系统提供完整的日志记录(包括系统操作日志和攻击防护日志),并支持对日志信息的查询和审计。系统操作日志记录了所有用户(包括超级用户和各个管理员)的操作记录,如更改策略、打开关闭保护、增删保护路径、备份恢复、增删管理员等。
攻击防护日志则记录了系统收集到的所有非法操作信息,包括非法文件操作及非法动态攻击,以及进行的相应操作等。