互联网WEB网页篡改技术研究
作者:洪莎莎
来源:《电脑知识与技术》2021年第30期
        摘要:本文主要研究互联网网站的网页防篡改技术。文章对网站篡改现状进行了分析,进而提出网站防篡改的安全防护需求,然后从网页轮询、核心内嵌及内核驱动级文件保护三个方面对防篡改检测技术进行研究,从本地备份和异地备份两方面对网站恢复技术进行研究,以保障网站的安全平稳运行。
网页被篡改怎么办
        关键词:互联网网站;防篡改检测;网站恢复
        中图分类号:TP393 文献标识码:A
        文章编号:1009-3044(2021)30-0121-02
        开放科学(资源服务)标识码(OSID):
        随着信息技术的不断发展,互联网已经越来越成为人们传递消息的必要手段。在互联网
的众多应用中,Web应用更是占有绝对的统治地位,几乎所有的企业、政府、机构都会采用网站来发布重要的信息或者与客户进行交互。尤其在电子政務和电子商务大力开展的形势下,网站建设空前发展,网站应用更加广泛。随着网站用户数量的快速增加,通过浏览网站来查看新闻、处理业务、查询信息等也极大推动促进了网站的发展,网站的舆论效应逐渐显现,已引发了广泛的社会关注。与此同时,其安全性也受到了更多的挑战,网站常常成为黑客攻击的首选对象,网站篡改是针对网站最常见的攻击类型之一。由于网站的转载速度快,内容易复制,一旦网页被篡改,篡改的页面会被迅速和广泛传播,直接危害网站利益,事后难以消除影响,难以追查责任。然而,网站经常成为黑客首选的攻击对象,黑客采用多重手段对网页漏洞进行攻击,进而获取、篡改和破坏各种信息,给网站运营者造成恶劣社会影响和重大经济损失,甚至会扰乱政治和国家的安全。如何预先检查和实时防范黑客对网站页面的恶意攻击,确保网站页面不受到非法篡改,防止自身形象和利益受到损失,并消除由此引发的其他不良影响,已经引起网站运营者的高度重视。
        随着攻击威胁的不断升级,国家法律法规对网站安全及防篡改的要求不断加码。我国的《中华人民共和国网络安全法》中就明确了网络运营者在安全方面需要承担的法律责任和义务,同时在法律责任中规定网络安全运营者如不履行责任和义务需承担法律责任,并
明确了对违法行为的处罚标准和处罚力度。从等保1.0到等保2.0,均对信息系统完整性提出明确的要求。《关键信息基础设施保护条例》针对关键信息基础设施要求在等保制度的基础上实施重点保护,且等级不得低于三级。从条例中可以看出,不仅政府党政机关的网站,重点新闻网站,访问量超过100万人次的网站,或一旦发生网络安全事故,影响范围较大的网站均认定为关键信息基础设施。
        由上可知,各行各业的网站运营者均应重视网站安全和防篡改。因为网站被篡改后,不仅面临名誉损失、经济损失,对安全失责、造成重大影响的篡改事件还需承担法律责任。为了解决如何确保网站页面不被篡改的难题,本文对WEB网页防篡改技术进行研究,以保障网站平稳安全运行。
        1网站篡改现状及安全防护需求
        网站篡改是攻击手段导致的一种攻击结果。黑客篡改的手段多种多样,从传统的网站入侵手段逐渐向应用层攻击手段转化,目前常见的Web页面篡改手段主要包含以下几种:
        (1)Web Shell攻击:黑客通过上传木马、植入后门文件等方式获取对网站服务器某
种程度上的操作权限后,采用文件上传、修改等手段来篡改网页。Web Shell与Web应用服务器的数据交互往往通过80、8000、8080等TCP通信端口进行,因此能够穿越防火墙,该攻击手段常用于攻击和控制允许用户上传文件的网站系统。
        (2)SQL注入方式:黑客针对程序员编写网页代码时的疏忽,利用网页系统的漏洞,通过SQL语句构造特定参数,从而实现无账号登录,篡改数据库等非法操作。该攻击手段常被用于对动态网页数据进行非法修改。
        (3)跨站攻击:当用户提交数据与服务器进行交互时, 黑客利用网页系统的漏洞,将恶意脚本隐藏在用户提交的数据中,从而篡改服务器正常的响应页面。
        (4)利用网站应用或操作系统漏洞:黑客利用网站应用或操作系统漏洞达到上传恶意代码或篡改网站的目的。
        从网站篡改形式上看,篡改可分为显式篡改和隐式篡改两种。显式篡改主要是对网站页面内容的篡改,这类篡改的目的往往是黑客为了炫技,或宣扬政治立场,宗教信仰等,可能造成网站对外发布违规内容,导致信息的误导和欺骗,甚至社会舆论的误导等。隐式
篡改包含网站后门植入、网页挂马、暗链植入等方式。这些方式本质上也是破坏了网页的完整性,只是黑客出于对经济利益的考虑,没有采取直观的篡改手段,但其危害程度却有增无减。例如,网站被挂马后,Web服务器成了传播网页木马的载体,严重影响到网站的公信度,网站运营者面临名誉和商业的双损失。网站被植入暗链后,同样会导致企业形象及公信度严重受损。隐式篡改最大隐患还在于网站实质已被入侵或控制,由于其隐蔽性很难被网站管理者发现,这样就留给黑客更多的榨取网站价值的时间窗口。例如,黑客利用网站后门进一步获取企业的敏感数据,植入恶意软件后用于挖矿、发起DDoS攻击、传播垃圾邮件、传播恶意软件等,这些都将给企业带来更大的损失。
        网页被篡改的原因是多方面的,一方面,网站应用繁多,相比其他业务系统,暴露的威胁面更多,不仅有底层操作系统的漏洞,还有各类网站应用、WEB框架、数据库的漏洞,这就给攻击者提供了更多可利用和突破的机会;另一方面,各类网站的系统业务建设和安全保护措施建设不同步,开发人员更关注业务的快速提供和丰富性,安全人员没在开发前期进行安全规划和设计,只能在维护阶段起到“消防队”的作用;还有部分网站虽然在发生篡改事件后能够恢复,但并没有从根本上消除安全隐患,导致网页被多次篡改。
        通过以上对网站篡改现状和风险进行分析,WEB页面防篡改技术主要需解决的问题和应具备的防篡改措施如下:
        (1)具备验证网页内容发布合法性机制,一切发布于互联网或者内网的网页内容需要经过篡改与否的合规性检验,防止绕过防御体系对网页进行篡改的风险。
        (2)具备篡改后应急处置机制。网页被篡改后,需要有良好的善后保障措施,以保障网站用户访问网站的连续性。
        2网站防篡改技术
        2.1篡改检测技术
        网站防篡改检测技术主要包含网页轮询、核心内嵌及内核驱动级文件保护三类,具体描述如下:
        (1) 网页轮询技术
        网页轮询是采用网页监测程序,以轮询的方式读出被监测的Web网页,通过与真实的
网页进行比较,从而判断页面内容的完整性,对篡改事件进行报警,对篡改网页进行恢复。该技术多被应用于网络侧的防篡改产品或服务。
        (2) 核心内嵌技术
        核心内嵌技术是将安全检测模块内嵌在Web系统软件中,如Apache、IIS、Weblogic、Websphere里,通常采用数字水印技术,对被保护网页定期进行数字水印计算并存储,并在每个网页输出时,将其与已存储的数字水印进行比对,对于和水印值不符的输出页面进行访问阻断,并及时报警。该技术不能对篡改行为进行阻断,而是阻断Http相应。
        (3) 内核驱动级文件保护技术
        内核驱动级文件保护技术是采用微软文件底层驱动技术,将篡改监测的核心程序应用于Web服务器中,通过事件触发的方式对网页进行安全监测。在网页文件被修改时,先检查这个请求是否来自合法的进程和用户,如果检测为合法则向下层驱动传递,基于细粒度的文件防护策略和规则进行进一步的判断,如果检测为合法则正常完成文件操作,如果检
测到该请求是来自不合法的进程或用户,则直接阻断其对页面文件的操作,从而达到网站防篡改的目的。该技术是基于操作系统内核底层文件系统驱动的保护技术,当被保护的网站目录或文件被修改时进行合法性检查,对篡改可做到实时检测和实时阻断。
        (4) 技术分析与比较
        目前的网站越来越多地使用动态技术来输出网页,动态网页脚本则与静态网页一样,容易受到攻击。而页面轮询技术只能检测静态网页的变化情况,不能检测动态网页,因此在使用上存在较大的局限性。核心内嵌技术和内核驱动级文件保护技术能够同时对静态页面和动态页面进行防篡改检测,具有比页面轮询技术更全面的网页防篡改保护能力。
        核心内嵌技术在网站访问量大的情况下,由于每次都需要对流出的页面内容进行数字水印比对,因此存在一定的性能瓶颈,主要体现为对服务器的CPU、内存资源消耗大,影响网页响应时间。内核驱动级文件保护技术由于不需要像数字水印技术那样对水印值先存储再对比,不但篡改检测效率高,对服务器本身资源占用也较低。
        网页轮询技术和核心内嵌技术是事后补偿的思路,即不能实时阻断篡改,只能做到篡
改发生后进行报警。内核驱动级文件保护技术可以实时对网站内容进行篡改检测,并在第一时间对篡改行为进行阻断和报警,从而为网站提供最及时的防篡改保护能力。
        通过对三种网页篡改检测技术进行分析和比较,网页轮询技术仅能够为静态页面提供防篡改保护,不能保护动态页面,因此该技术在适用性上具有较大的局限性。核心内嵌技术虽然可以同时为静态页面和动态页面提供防篡改保护,但属于事后补偿机制,不能为网站提供实时高效的安全保护能力。内核驱动级文件保护技术可以同时为静态页面和动态页面提供防篡改保护,且直接对篡改行为进行阻断,可以为网站提供及时全面的安全保护能力,尤其在应对大规模自动化、连续性篡改时,该技术具有简单、高效的特点,是目前网页防篡改的主流技术。
        2.2网站恢复技术
        在检测到网页被篡改的同时,需要快速对网站进行内容恢复。为实现网站内容恢复,需要对网站文件夹进行备份,可以进行本地备份或异地备份。本地备份是在同一台WEB服务器设置两个目录,一个专门用作对外提供访问,另一个专门用作网页备份。当发现对外提供访问的目录被篡改时,第一时间将备份目录文件夹内容拷贝到对外服务目录相应文件
位置,从而进行网站實时恢复,确保网站对外提供服务的连续性和安全性。