1 网页防篡改技术因何而生
在信息高速流通的互联网时代下,网站在各行各业以及人们的日常生活中均发挥着重要作用,与此同时,其也成为了黑客攻击的主要对象之一——黑客常常利用网站应用程序或操作系统的安全漏洞对网页进行篡改,修改网页展示内容或在网页中植入色情、诈骗等非法信息的暗链,以传播恶意信息或谋取非法经济利益。
根据国家计算机网络应急技术处理协调中心(CNCERT/CC)发布的《2020年中国互联网网络安全报告》显示,2020年我国境内约10万个网站受到了篡改,其中包括近500个政府网站,可见网页篡改攻击十分猖獗。网页一旦被篡改,由于阅读人群多、传播速度快、内容易复制等特点,往往影响深远且事后难以消除。面对网页篡改攻击可能带来的不可估量的危害,如何有效防范和应对网页篡改成为信息安全的重要课题之一,各类网页防篡改技术应运而生。
2 网页防篡改技术介绍
2.1 网页防篡改技术有哪些
网页防篡改技术对网页篡改的应对思路主要集中于篡改的检测和恢复。“在网页发布前后及时、高效且准确地检测出网页篡改并快速恢复”是网页防篡改技术不断提升的目标。
随着网络技术的不断发展,目前网页防篡改技术已经经历了三代革新,在篡改检测和恢复性能上不断提升,下面介绍一下四种典型的网页防篡改技术。
图2-1 网页防篡改技术发展历程
2.1.2 时间轮询技术
时间轮询技术又称外挂轮询技术或定时循环扫描技术,其原理是使用网页监测程序,按照固定的周期将监控的目标网页与事先备份好的正确网页进行比较,判断网页的完整性,发现篡改后及时使用备份文件恢复网页。
从时间轮询技术开始,针对网页防篡改的研究摆脱了以人力检测恢复为主体的原始方式,开始了自动化方式的探索。时间轮询技术的优势是易于实现,但其劣势也很明显:
●随着网站的规模化发展,网站页面数量成倍提升,每次扫描需要耗费较长时间,并大量消耗服务器的CPU和硬盘I/O资源,影响服务器性能。
●由于轮询扫描存在时间间隔,篡改检测的实时性无法得到保障,黑客仍然有机会篡改网页并使网页访问者浏览到被篡改的网页。
时间轮询技术由于效率低、资源消耗高,在实际应用中具有较大的局限性,目前已基本被淘汰。
2.1.3 事件触发技术
事件触发技术的基本原理是利用操作系统的文件系统或驱动程序接口监听网站目录下的文件修改,在网页文件被修改时进行合法性检查,对于非法操作进行告警和恢复。
相较于时间轮询技术,事件触发技术基于事件触发的篡改检测机制不仅能够使被篡改的网页在短时间内被发现和恢复,进而减小篡改网页流出带来的风险,而且几乎不消耗系统资源,不会对服务器性能造成影响。
然而,单独依靠事件触发技术往往难以实现对网页篡改的有效防护,主要原因如下:
●事件触发技术的篡改检测机制建立在“攻击者不可能绕过操作系统的文件系统或驱动程序接口对网页文件进行修改”的假设上,在对篡改行为的捕获上完全依赖于已知的文件系统或驱动程序接口。然而“敌暗我明”,攻击者往往不会从正面进攻,而是选择通过其他不易被发现的方式(例如直接写磁盘)进行篡改攻击,因此目前的检测机制存在被绕过的风险。此外,被篡改的网页一旦成功绕过检测,后续就再也没有机会对其进行检查和恢复。
●在对疑似受到篡改的网页文件的合法性检查上,事件触发技术通常将文件大小、修改时间、格式等文件属性作为判断是否被篡改的标准,而不对文件内容的完整性进行校验,因此无法确保网页文件内容未被篡改,可能出现误判、漏判的情况。
●由于事件触发技术本质上仍是在非法网页篡改发生之后才进行检测恢复,当攻击者发起连续的篡改攻击,检测恢复速度无法追赶上篡改发生的速度,会使用户持续访问到被篡改的网页。
因此,在实际应用中,事件触发技术通常作为篡改检测的触发机制,和其他网页防篡改技术结合使用。
2.1.4 核心内嵌技术
核心内嵌技术是以数字水印技术为基础,能够有效阻断篡改网页流出的一种网页防篡改技术,其基本原理为:对受保护网页定期进行数字水印的计算和存储,当服务器接收到访问请求时,通过内嵌于Web服务器软件的篡改检测模块,从访问请求中提取被访问的页面并计算数字水印,并与之前存储的数字水印进行比对,以判断网页文件是否受到篡改。若网页文件受到篡改,则阻止其流出并对其进行恢复。
核心内嵌技术的优势主要包括:
●对每一个流出的网页做完整性校验,被篡改网页无法绕过检测机制,基本可以避免被篡改网页被用户访问到,确保了网页防篡改的有效性。
●以密码学为理论基础,提高了网络传输可靠性,并支持对动态网页的防护。
●将篡改检测模块与Web服务进程融合,处理效率高,稳定性强。由于不存在独立的模块运行进程,黑客无法中止检测模块的运行。
核心内嵌技术的局限性则主要在于数字水印的计算和比对过程需要消耗服务器的CPU和内存资源,在网站访问量大的情况下,可能会给服务器造成一定压力,影响网页响应时间。此外,该技术也无法实现在篡改发生时进行实时响应,若被篡改网页持续未被访问,则网站管理者无法察觉到篡改攻击的发生。
2.1.5 文件过滤驱动技术
与上文介绍的几种网页防篡改技术不同,文件过滤驱动技术改变了“在篡改发生后再进行恢复”的被动防御方式,实现了在篡改写入文件之前就进行阻断。其原理是:通过操作系统提供的文件底层驱动技术,将篡改检测系统应用到Web服务器,拦截并分析所有对文件实体进行修改的系统调用。若修改请求来自合法的进程或用户,则向下层驱动传递,根据细粒度的文件防护策略和规则进行进一步的判断;若请求非法,直接阻断修改操作。
该技术的主要优势包括:
●通过对IRP(I/O request packets,输入输出请求包)流的拦截与分析,可以实现对动态页面的监控。
●基于底层文件驱动技术,对网页文件的监测和恢复过程可以达到毫秒级。
●资源代价小,占用服务器系统资源极少,不会对服务器性能造成影响。
综合来说,文件过滤驱动技术在准确性、检测实时性、资源占用率等方面都明显优于前几种技术,是一种高效而安全的网页防篡改技术。
然而该技术也并非毫无破绽。操作系统内核底层往往存在多种可以读写文件的方式,文件过滤驱动存在被绕过的可能。此外,由于该技术不具备已篡改网页的检测和恢复能力,作为单一的技术手段部署时依然具有风险。
2.2 网页防篡改技术对比
表2-1从篡改检测性能、安全性、应用范围等维度,对比了时间轮询技术、事件触发技术、核心内嵌技术和文件过滤驱动技术这四种较为典型的网页防篡改技术。
表2-1 典型网页防篡改技术比较
对比特性 |
时间轮询技术 |
事件触发技术 |
核心内嵌技术 |
文件过滤驱动技术 |
访问篡改页面 |
可能 |
可能 |
不可能 |
不可能 |
保护动态内容 |
不能 |
不能 |
能 |
能 |
服务器负载 |
中 |
低 |
较低 |
极低 |
带宽占用 |
中 |
无 |
无 |
无 |
检测响应时间 |
分钟级 |
秒级 |
实时 |
实时 |
绕过检测机制 |
不可能 |
可能 |
不可能 |
可能 |
抵御连续篡改攻击 |
不能 |
不能 |
能 |
能 |
保护所有网页 |
不能 |
能 |
能 |
能 |
动态网页脚本 |
不支持 |
支持 |
支持 |
支持 |
适用操作系统 |
所有 |
受限 |
所有 |
受限 |
断线时保护 |
不能 |
不能 |
能 |
能 |
----------------------------------------------------------------------------------------------
说明
“断线时保护”是指能否在中断了Web服务器和备份网页服务器连接的情况下实现网页防篡改。
----------------------------------------------------------------------------------------------
3 网页防篡改技术的应用
随着网页防篡改技术的不断革新,各大厂商也在网页防篡改领域刻苦钻研,推出了各类集成了网页防篡改功能的Web安全防护产品,如锐捷RG-WG-E WebGuard应用保护系统。
RG-WG-E WebGuard应用保护系统所集成的网页防篡改功能模块采用底层文件过滤驱动技术,结合事件触发式的监测机制,为网站目录中的网页、电子文档、图片、数据库等各种类型的文件提供了全方位的保护。其优势主要包括:
●判断准确,资源占用少:集合文件过滤驱动技术与事件触发技术的优势,能够及时发现非法篡改事件,并在篡改写入文件之前就进行阻断,有效保护网页文件,抵御网页篡改攻击。
●部署灵活:支持“单防篡改端”和“防篡改端+发布端”两种部署场景,部署过程既不依赖于原有Web系统架构,也不影响网站整体结构。
●安全性高:支持网页防篡改客户端与WAF的实时联动,即使在断线状态下也能实现篡改防护;同时,防篡改客户端具备自我保护机制,有效防止黑客从根源上对防御模块进行破坏。
●统一管理,运维高效:支持对所有安装防篡改客户端的服务器进行集中管理,能够可视化地能监控服务器状态和防篡改信息。
除了网页防篡改外,RG-WG-E WebGuard应用保护系统通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤,精确判定并阻止其他Web应用入侵行为,阻断各种对Web服务器的恶意访问与非法操作。其内置的IDP入侵检测防护引擎和威胁情报管理中心,不仅能够在攻击发生的时候做到准确地检测和防护,还能为攻击溯源和安全分析提供依据,确保了Web应用安全的最大化,提高了网络安全的整体水平。
4 总结
为了应对层出不穷的网页篡改攻击,网页防篡改技术经历了三代革新,从时间轮询技术发展到了基于事件触发机制的文件过滤驱动技术,在防护性能上不断提升。锐捷RG-WG-E WebGuard应用保护系统基于第三代网页防篡改技术,实现了实时防范黑客对网页的恶意篡改,降低了网页篡改引发的风险,对保障网站平稳安全运行具有重要意义。