网页防篡改简介.doc_第1页
网页防篡改简介.doc_第2页
网页防篡改简介.doc_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

关于防网页篡改的讨论目前网站(包括网银)的网页之所以存在被篡改的可能性,有客观和主观两方面的原因:客观而言,因为存在诸如以下原因,现有技术架构下的网站漏洞将长期存在:l 操作系统复杂性:已经公布超过1万多个系统漏洞l 漏洞与补丁:系统漏洞从发现到被利用为5天,补丁 发布时间为47天l 应用系统漏洞:各种注入式攻击,多个应用系统不同的开发者。主观原因而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现:l 密码管理:合格密码需要8位以上复杂字符并定期改变l 漏洞补丁:操作系统、中间件、应用系统的定期更新l 上网控制:钓鱼、木马、间谍软件从目前防网页篡改技术上来讲,很多安全设备都具备一些简单的防网页篡改方面的技术。一、 网络安全设备很多系统都使用了安全网关、防火墙和入侵检测系统等网络安全设备来保护自身的安全。防火墙是一种成熟和应用广泛的网络安全设备,但是网银web服务器通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放Web应用端口,这种方式对与Web应用没有任何的保护作用。即使使用http代理型的防火墙,防火墙也只是验证http协议本身的合法性,完全不能理解http协议所承载的数据,也无法判断对http服务器的访问行为是否合法。入侵检测技术也是工作在网络层,对应用协议的理解和作用存在相当的局限性,对于复杂的http回话和协议更不能完整处理,由于需要预先构造攻击特征库来匹配网络数据,入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击二、 专业的网页防篡改系统目前市场上也有较多的专门防网页篡改的系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加下面是一些厂商的篡改检测技术分享:某厂商一:将web服务器在对外发送网页时,利用数字水印技术对其进行完整性检查,如下图:检查点:l Web服务器准备向用户发送网页(网页文件已读入,尚未投放到网络上)。检查对象l 静态网页文件(HTML/CSS文件)l 图像文件(GIF/JPG/PNG/BMP文件)l 动态脚本文件(ASP/JSP/PL/PHP文件)l 多媒体文件(WAV/MP3/FLS/MPEG文件)l 二进制可执行实体(CGI/DLL/EXE文件)l 其他所有可以在URL中访问/下载的文件检查方式:l 计算对象的数字水印,与水印库中的数据进行比较。某厂商二:此种也是采用水印技术来防止网页防篡改。大体目前市面上防篡改使用的技术如下:1. 定时循环扫描技术(即:外挂轮询):使用程序按照用户设定的时间间隔,对网站目录进行定时扫描比对,如发现篡改,就用备份进行恢复。2. 事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查是否是非法篡改。3. 核心内嵌技术(即“数字水印”或“数字指纹”):在用户请求访问网页之后,在系统
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论