版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
網(wǎng)站防篡改系統(tǒng)介紹武漢和迅計(jì)算機(jī)工程公司網(wǎng)站防篡改系統(tǒng)
一. 網(wǎng)站現(xiàn)狀分析二.攻擊防范方法三. 和迅產(chǎn)品介紹一網(wǎng)站安全現(xiàn)狀Web應(yīng)用成為熱門的攻擊對(duì)象根據(jù)權(quán)威機(jī)構(gòu)GartnerGroup最新的調(diào)查結(jié)果表明,目前針對(duì)網(wǎng)絡(luò)的各類攻擊中,有75%以上是針對(duì)Web應(yīng)用而發(fā)起的。由于缺乏有效的防護(hù)手段,這種針對(duì)Web應(yīng)用的攻擊逐漸成為黑客發(fā)動(dòng)攻擊的首選途徑。Web應(yīng)用得以迅速發(fā)展,得益于Internet的迅猛發(fā)展和Web瀏覽器的日益普及。但是這種普及是一把雙刃劍,在各種Web應(yīng)用不斷涌現(xiàn)的同時(shí),Web應(yīng)用遭受攻擊的機(jī)會(huì)也大大地增加了。1.1網(wǎng)站安全所面臨的形勢網(wǎng)站被篡改的影響導(dǎo)致網(wǎng)站終止,服務(wù)不能正常開展對(duì)企業(yè)形象和政府信譽(yù)帶來極其不好的影響網(wǎng)站被篡改的普遍性2007-8-13日聯(lián)合國網(wǎng)站被篡改。秘書長潘基文發(fā)表聲明的網(wǎng)頁遭到篡改。今年5月,愛沙尼亞的銀行、政府部門網(wǎng)站曾經(jīng)遭到過有組織的攻擊。荊州市商務(wù)局首頁領(lǐng)導(dǎo)圖片被換。美國總統(tǒng)布什前任反恐顧問說,國際社會(huì)必須協(xié)調(diào)行動(dòng)才能保護(hù)互聯(lián)網(wǎng)免受黑客攻擊。1.2國內(nèi)網(wǎng)站被篡改的情況網(wǎng)站被頻繁入侵,不僅極大影響了企業(yè)的形象,也體現(xiàn)出我國在信息發(fā)展中遇到嚴(yán)重的安全隱患。1.3網(wǎng)站被篡改的原因客觀原因:操作系統(tǒng)和應(yīng)用的復(fù)雜性,導(dǎo)致系統(tǒng)漏洞層出不窮。雖然有防火墻、入侵檢測;但是這些產(chǎn)品都是基于特定端口的,無法理解協(xié)議的具體內(nèi)容。網(wǎng)站容易被篡改的主觀原因:網(wǎng)站建設(shè)與保護(hù)措施建設(shè)不同步。還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù),但并沒有根除安全隱患,從而遭到多次篡改。1.4網(wǎng)絡(luò)層技術(shù)不能解決問題安全現(xiàn)狀:1、每個(gè)人都可能成為黑客(自動(dòng)化攻擊工具)2、Web平臺(tái)漏洞百出(平臺(tái)更新,開發(fā)者不注重安全)3、各種攻擊手段層出不窮(Top10攻擊手段)
現(xiàn)有網(wǎng)絡(luò)設(shè)備不能解決問題1、現(xiàn)有的安全設(shè)備不能解決問題2、網(wǎng)絡(luò)防火墻對(duì)于SSL數(shù)據(jù)流無能為力3、即使普通的編碼技術(shù),都能輕易突破網(wǎng)絡(luò)防火墻4、網(wǎng)絡(luò)防火墻不能適應(yīng)日益增多的應(yīng)用5、傳統(tǒng)的安全設(shè)備不能防范未知類型的攻擊6、網(wǎng)絡(luò)防火墻提供的應(yīng)用層防護(hù)形同虛設(shè)
二Web安全威脅與防范方法
各類應(yīng)用攻擊分類及其危害分析網(wǎng)站攻擊的動(dòng)機(jī)、階段和目標(biāo)網(wǎng)絡(luò)攻擊發(fā)展趨勢常見攻擊與防范方法2.1各類應(yīng)用攻擊分類及危害分析最危險(xiǎn)的應(yīng)用威脅清單Cross-SiteScriptingSQLInjectionCommandInjectionCookie/SessionPoisoningParameter/FormTamperingBufferOverflowDirectoryTraversal/ForcefulBrowsingCryptographicInterceptionCookieSnoopingAuthenticationHijackingLogTamperingErrorMessageInterceptionAttackObfuscationApplicationPlatformExploitsDMZProtocolExploitsSecurityManagementAttacksWebServicesAttacksZeroDayAttacksNetworkAccessAttacksTCPFragmentationDenialofService
對(duì)業(yè)務(wù)影響:銷售收入下降舞弊交易
非法數(shù)據(jù)侵入數(shù)據(jù)竊取及修改客戶身份丟失客戶服務(wù)中斷
恢復(fù)及清除成本
客戶信心下降及丟失2.2網(wǎng)站攻擊的動(dòng)機(jī)、階段和目標(biāo)
技術(shù)炫耀
政治顛覆
經(jīng)濟(jì)利益
數(shù)據(jù)操縱
系統(tǒng)訪問
提升權(quán)限
拒絕服務(wù)收集信息
公開的數(shù)據(jù)來源
掃描和探測實(shí)際攻擊階段
網(wǎng)絡(luò)滲透
DoS/DDoS攻擊
帶寬消耗
主機(jī)資源消耗分析信息和準(zhǔn)備攻擊
正在使用的服務(wù)
已知操作系統(tǒng)或應(yīng)用漏洞
已知網(wǎng)絡(luò)協(xié)議的安全脆弱性
網(wǎng)絡(luò)拓?fù)?.3網(wǎng)絡(luò)攻擊的發(fā)展趨勢
網(wǎng)絡(luò)攻擊的發(fā)展趨勢:
技術(shù)炫耀型轉(zhuǎn)向利益驅(qū)動(dòng)型。網(wǎng)絡(luò)攻擊的組織性、趨利性、專業(yè)性和定向性逐步加強(qiáng)。為獲得經(jīng)濟(jì)利益的惡意代碼和在線身份竊取成為主流。瞄準(zhǔn)特定用戶群體的定向化信息竊取和威脅。2.4常見攻擊與防范方法常見攻擊應(yīng)對(duì)手段SQL注入攻擊:
攻擊者通過提交包含SQL語句的數(shù)據(jù)到WEB服務(wù)器,進(jìn)而對(duì)網(wǎng)站的數(shù)據(jù)庫執(zhí)行操作,從而達(dá)到入侵目的。如獲取管理員用戶名和密碼,添加、修改或刪除數(shù)據(jù),執(zhí)行某些存儲(chǔ)過程等。防SQL注入:
本系統(tǒng)通過對(duì)用戶提交的數(shù)據(jù)進(jìn)行分析可以有效的防止SQL注入攻擊。安裝本系統(tǒng)之后SQL防注入功能自動(dòng)啟動(dòng),無需使用者設(shè)置關(guān)鍵字或正則表達(dá)式等過濾規(guī)則。使用者可以在遠(yuǎn)程通過瀏覽器查看日志或在服務(wù)器上使用配置工具GateConfig查看攻擊日志。上傳漏洞:由于Web應(yīng)用程序的上傳頁面未對(duì)用戶身份進(jìn)行認(rèn)證即允許用戶上傳文件,攻擊者可利用此漏洞上傳腳本木馬。
上傳文件過濾:
本功能可限制用戶上傳的文件類型,防止攻擊者上傳腳本木馬(如上傳asp、php、jsp等類型的木馬)。(可以對(duì)指定目錄或類型文件進(jìn)行例外)2.5常見攻擊與防范方法常見攻擊應(yīng)對(duì)手段弱口令攻擊:由于管理后臺(tái)的用戶名和密碼過于簡單,或使用了默認(rèn)的用戶名和密碼,攻擊者可以輕易進(jìn)入后臺(tái)從而對(duì)網(wǎng)站造成破壞。訪問認(rèn)證:
對(duì)于一些重要的目錄,如管理員后臺(tái)可能需要重點(diǎn)保護(hù),可以通過訪問認(rèn)證完成此任務(wù)。
緩沖區(qū)溢出攻擊:緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞,在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊,可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是,可以利用它執(zhí)行非授權(quán)指令,甚至可以取得系統(tǒng)特權(quán),進(jìn)而進(jìn)行各種非法操作。防止緩沖區(qū)溢出:本系統(tǒng)會(huì)對(duì)提交給WebServer的數(shù)據(jù)長度進(jìn)行檢測,一旦數(shù)據(jù)長度超過了規(guī)則設(shè)定的長度,數(shù)據(jù)將被丟棄。2.6常見攻擊與防范方法常見攻擊應(yīng)對(duì)手段跨站攻擊:跨站攻擊是指Web應(yīng)用程序未經(jīng)適當(dāng)過濾便將用戶提交的信息原樣顯示在頁面上,當(dāng)用戶瀏覽該頁面時(shí)即會(huì)遭到跨站攻擊??缯灸_本攻擊檢查:對(duì)指定的文件類型進(jìn)行參考開始路徑的檢查。
旁注攻擊:一臺(tái)服務(wù)器上通常存在多個(gè)WEB站點(diǎn)。如果攻擊者意圖入侵某網(wǎng)站,從該網(wǎng)站正面程序入手沒有機(jī)會(huì)時(shí),就可以通過域名查找功能得到這個(gè)網(wǎng)站所在的虛擬主機(jī)中的其他網(wǎng)站,并嘗試入侵這些網(wǎng)站,然后上傳木馬進(jìn)而控制整個(gè)虛擬主機(jī),而這樣也就達(dá)到了入侵目標(biāo)網(wǎng)站的目的上傳文件過濾:
本功能可限制用戶上傳的文件類型,防止攻擊者上傳腳本木馬(如上傳asp、php、jsp等類型的木馬)。(可以對(duì)指定目錄或類型文件進(jìn)行例外)禁止列目錄和屏蔽服務(wù)器信息
HTTP方法檢查產(chǎn)品介紹4.1H-infoweb安全防范體系攻擊者建模:阻止已知攻擊行為和探測活動(dòng).脆弱性建模阻止針對(duì)系統(tǒng)和應(yīng)用漏洞的攻擊活動(dòng)。防護(hù)性建模建立合法的資源訪問模式。對(duì)進(jìn)出的資源進(jìn)行主動(dòng)防護(hù)。應(yīng)急性響應(yīng)連續(xù)保護(hù)和容災(zāi)備份:對(duì)系統(tǒng)的活動(dòng)進(jìn)行記錄,還原攻擊過程。應(yīng)急恢復(fù)、審計(jì)分析、事件關(guān)聯(lián)。4.2網(wǎng)站防篡改系統(tǒng)部署圖FirewallInternetUser/AttackerWebServersApplicationServersDatabaseFileServer產(chǎn)品1:應(yīng)用防火墻前端防御產(chǎn)品2:網(wǎng)站防篡改深度防御4.3系統(tǒng)組成系統(tǒng)配置模塊
用于設(shè)置規(guī)則庫,開啟或關(guān)閉各檢測模塊.該配置模塊只有擁有管理員權(quán)限帳號(hào)才能使用.過濾防護(hù)模塊
該模塊運(yùn)行在WEB服務(wù)器內(nèi)部,能夠?qū)崟r(shí)檢測用戶提交給WEB服務(wù)器的數(shù)據(jù),在惡意數(shù)據(jù)被網(wǎng)站程序執(zhí)行之前及時(shí)阻止并記錄攻擊來源.日志查看模塊
管理員可通過日志查看模塊方便的查看攻擊日志.4.4系統(tǒng)功能內(nèi)核防篡改功能防止SQL注入式攻擊防止緩沖區(qū)溢出支持URL過濾禁止下載指定類型文件可以對(duì)指定站點(diǎn)指定相應(yīng)規(guī)則
支持請(qǐng)求內(nèi)容類型過濾防止非法執(zhí)行腳本
文件保護(hù)功能防止假冒文件上傳可提供對(duì)任何文件的訪問認(rèn)證防腳本木馬文件上傳、修改、刪除等操作支持對(duì)文件的實(shí)時(shí)監(jiān)控支持文件上傳類型過濾支持文件上傳目錄過濾
支持對(duì)服務(wù)器所有文件目錄里的木馬進(jìn)行分析查找4.5系統(tǒng)功能安全認(rèn)證功能提供對(duì)網(wǎng)頁訪問或后臺(tái)登錄時(shí)的身份認(rèn)證可以對(duì)網(wǎng)站進(jìn)行IP訪問限制可以對(duì)文件和目錄進(jìn)行訪問認(rèn)證
安全防御功能
支持對(duì)服務(wù)器信息隱藏和屏蔽
支持對(duì)站點(diǎn)的匿名賬戶進(jìn)行安全檢測禁止列目錄
屏蔽服務(wù)器錯(cuò)誤信息可繼承的細(xì)粒度配置4.6系統(tǒng)功能日志審計(jì)功能文件篡改日志查看
攻擊日志查看
數(shù)據(jù)統(tǒng)計(jì)功能
受攻擊網(wǎng)站統(tǒng)計(jì)分析攻擊IP統(tǒng)計(jì)分析
支持攻擊趨勢分析查詢,支持文件導(dǎo)出打印
4.7系統(tǒng)關(guān)鍵技術(shù)讀寫分離技術(shù)
使普通用戶對(duì)Web服務(wù)器資源只有讀取權(quán)限,只有通過認(rèn)證的用戶才擁有讀寫權(quán)限。只要未通過認(rèn)證,即使攻擊者發(fā)現(xiàn)網(wǎng)站存在的漏洞,也無法篡改網(wǎng)站文件。
2.
sql防注入技術(shù)
對(duì)來自于客戶的Web訪問請(qǐng)求進(jìn)行分析,檢查其中的表單輸入和URL輸入中是否含有非法字符/關(guān)鍵字構(gòu)成注入式攻擊。
3.
IP過濾技術(shù)
可以對(duì)指定的文件或目錄設(shè)置禁止或僅允許指定的IP訪問,對(duì)于經(jīng)常攻擊服務(wù)器的IP可以將其加入黑名單。4.8系統(tǒng)關(guān)鍵技術(shù)4.日志分析與數(shù)據(jù)統(tǒng)計(jì)
查看被防篡改系統(tǒng)阻止掉的惡意攻擊和阻止上傳非法文件的記錄,根據(jù)我們攔截的數(shù)據(jù)自動(dòng)生成分析報(bào)表,供管理員查看。
5.訪問文件類型過濾根據(jù)規(guī)則庫的設(shè)置,屏蔽對(duì)指定類型文件的訪問。
6.防緩沖區(qū)溢出對(duì)提交給WebServer的數(shù)據(jù)長度進(jìn)行檢測,一旦數(shù)據(jù)長度超過了規(guī)則設(shè)定的長度,數(shù)據(jù)將被丟棄。7.上傳文件過濾針對(duì)網(wǎng)站程序的上傳漏洞,對(duì)用戶上傳的文件進(jìn)行過濾,禁止上傳、修改、刪除asp、jsp、php等類型的惡意腳本。4.9系統(tǒng)特點(diǎn)高效性
本系統(tǒng)運(yùn)行于WEB服務(wù)器內(nèi)部,部分?jǐn)?shù)據(jù)直接從服務(wù)器程序獲取,避免了對(duì)數(shù)據(jù)的重復(fù)解析,系統(tǒng)核心模塊采用C\C++開發(fā),能夠有效節(jié)省檢測時(shí)間。易用性包含簡單易用的配置程序,安裝完成后會(huì)自動(dòng)針對(duì)WEB服務(wù)器生成默認(rèn)配置,使用者可以方便的對(duì)配置進(jìn)行修改。無需用戶設(shè)置復(fù)雜的過濾規(guī)則。使用者可以直接在遠(yuǎn)程通過瀏覽器查看應(yīng)用防火墻日志。易部署直接在服務(wù)器上安裝即可。
4.10系統(tǒng)特點(diǎn)安全性對(duì)于攻擊者提交的惡意數(shù)據(jù)及時(shí)攔截并記錄,防止惡意數(shù)據(jù)到達(dá)WEB應(yīng)用程序。對(duì)于WEB程序的重要資源,如管理后臺(tái),ACCESS數(shù)據(jù)庫等,采用訪問限制與訪問認(rèn)證雙重手段進(jìn)行保護(hù),認(rèn)證過程無需安裝第三方軟件,僅通過瀏覽器即可完成。瀏覽者對(duì)WEB服務(wù)器的資源只有讀取權(quán)限,管理員如需發(fā)布資源需要經(jīng)過認(rèn)證才能獲取讀寫權(quán)限。攻擊者即使發(fā)現(xiàn)WEB網(wǎng)站漏洞也無法成功利用,只要其未經(jīng)過認(rèn)證,對(duì)網(wǎng)站資源就只有讀取權(quán)限并且無法訪問管理后臺(tái),無法上傳后門,無法對(duì)網(wǎng)站進(jìn)行破壞。
4.11軟件/硬件優(yōu)劣對(duì)比硬件
軟件部署難易程度網(wǎng)絡(luò)部署。需重新規(guī)劃網(wǎng)絡(luò)地址;需針對(duì)每個(gè)特定網(wǎng)站配置個(gè)性化策略。主機(jī)布置。無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)單點(diǎn)故障存在單點(diǎn)故障,負(fù)載高和網(wǎng)關(guān)攻擊。無單點(diǎn)故障,負(fù)載合理。技術(shù)支持視地區(qū)而定。本地維護(hù),簡化工作量全面檢測對(duì)Https無法檢測,不支持SSL處理。SSL的處理(注入攻擊)準(zhǔn)確檢測不支持大數(shù)據(jù)包的請(qǐng)求分包組合。大數(shù)據(jù)包請(qǐng)求,分包的組合行為檢測不支持對(duì)用戶和進(jìn)程的識(shí)別。無進(jìn)程,用戶,文件的語義。對(duì)用戶和進(jìn)程識(shí)別。將特定的用戶和權(quán)限綁定。漏洞檢測不支持服務(wù)器漏洞配置。如:權(quán)限,列目錄木馬檢
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 普通員工勞動(dòng)合同書模板
- 國際農(nóng)產(chǎn)品貿(mào)易協(xié)議
- 工廠機(jī)器設(shè)備購銷合同
- 工傷賠償協(xié)議書樣式參考
- 廣東省果園租賃合同范本
- 過控課程設(shè)計(jì)送風(fēng)機(jī)
- 古詩詞誦讀《李憑箜篌引》 公開課一等獎(jiǎng)創(chuàng)新教案統(tǒng)編版高中語文選擇性必修中冊(cè)
- 個(gè)人銀行貸款居間合同
- 正規(guī)借貸合同模板
- 區(qū)域合作框架協(xié)議參考
- 職業(yè)生涯規(guī)劃醫(yī)學(xué)生
- 醫(yī)學(xué)課件指骨骨折
- 拜占庭歷史與文化智慧樹知到期末考試答案2024年
- 反應(yīng)釜驗(yàn)證方案樣本
- S2-旋挖樁機(jī)安裝拆卸專項(xiàng)方案
- 酒店式公寓方案
- 二年級(jí)下冊(cè)語文課件-作文指導(dǎo):13-通知(23張PPT) 部編版
- 普通高中物理課程標(biāo)準(zhǔn)解讀
- 成人失禁相關(guān)性皮炎的預(yù)防與護(hù)理-護(hù)理團(tuán)標(biāo)
- 西南師大版二年級(jí)下冊(cè)三位數(shù)加減混合運(yùn)算200題及答案
- 國外保護(hù)非物質(zhì)文化遺產(chǎn)的現(xiàn)狀
評(píng)論
0/150
提交評(píng)論