Web安全防护技术之网页防篡改二

网页防篡改系统可以用于Web服务器，也可以用于中间件服务器，其目的都是保障网页文件的完整性。其部署方式为，建立一台单独的管理服务器，然后在每台Web服务器上安装一个Agent程序，负责该服务器中站点文件的看护。其中管理服务器主要是管理这些Agent程序的看护策略。网页防篡改产品的技术原理主要包括如下几种：‘

(1)定时循环技术：把Web服务器主目录下的文件做一个备份，用一个定时循环进程，把备份的文件与服务使用的文件逐个进行比较，不一样的就用备份去覆盖。网站更新发布的同时更新主目录的备份。这种方法不适用于大型站点，因为大型站点页面数量巨大，备份时扫描时间过长，并会占用大量的Web服务器性能资源。

(2)摘要循环技术：采用了Hash算法，对Web艮务器主目录下的每个文件做Hash，生成该文件的哈希值。定时循环进程直接计算文件的哈希值并与原哈希值进行核对。该技术便于使用，仅占用较小的附加空间，而且哈希值具有不可逆的特点，不容易假冒。

(3)事件触发防技术：在权衡文件访问量、读取和修改操作的危险程度上，开启一个看守进程，对Web艮务器的主目录文件删改操作进行监控。发现有此操作行为，判断用户是否具有合法身份并被授权进行维护操作，否则阻断其执行，文件不被改写，也就起到了网页防篡改的目的。由于只有文件被改变时才做检查，因此该技术大大降低了对服务器资源的占用。

(4)底层过滤技术：防篡改产品直接调用WindowS系统中所提供的系统级的目录文件修改看护进程，或者利用操作系统自身的文件安全保护功能，对主目录文件进行锁定，只允许站点发布系统（页面更新）才可以修改文件，其他系统进程也不允许删改。

网页防篡改虽然可以很好的保护静态页面，但无法对动态页面实施保护，因为动态页面是用户访问时生成的，内容与数据库相关。很多SQL注入攻击就是利用这个漏洞来人侵Web 服务器的。有些网页防篡改产品也在其内部都提供了一个IPS软件模块，用来阻止来针对web 服务的SQL注入、XML注入攻击。