浅析页防篡改技术特点与安全隐患
概述
页防篡改软件又称站恢复软件,能够防范门户站、站、电子商务站的页内容和运用文件被篡改,被篡改后能够自动恢复。保护站页内容安全,避免文件被歹意篡改;保护站业务文件内容安全,避免文件被歹意篡改;保障站发布信息的正确性、完整性、权威性,提升站业务处理的安全性,保护保障政府、企业的形象和利益。其使用的防篡改技术归纳罗列以下:1、事件触发技术:基于操作系统接口编程,实现对操作系统文件变更事件的实时获得——此时文件变更已然完成——并基于特殊技能判断当前变更事件的合法性(简单地定义为,由防篡改本身引发的文件变更加合法,否则为非法),对合法事件,不予处理;对非法事件,则履行恢复处理。
2、核心内嵌(数字水印)技术:基于WEB/运用服务器的扩大开发规范设计开发,将篡改检测模块嵌入WEB/运用服务器内部,由此得名。篡改检测模块可以在服务器获得HTTP要求以后、处理要求之前,对被要求文件资源进行合法性检验。检验通常是基于数字水印比较的方法进行,对通过检验的要求放行并由服务器继续处理,对未通过检验的要求予以终止,同时要求对相应文件进行恢复处理。
3、文件过滤驱动技术:基于操作系统内核编程,实现对操作系统文件操作要求的过滤,并通过进程设置,对合法进程的文件变更要求放行,而对不合法的文件变更要求给予拦截阻断,从而在文件发布进程中保证文件内容的合法性。在后文中,将逐一分析下各技术的特点与安全隐患。
事件触发技术特点与安全隐患这是目前主流的防篡改技术之一,该技术以稳定、可靠、占用资源极少著称,其原理是监控站目录,如果目录中有篡改产生,监控程序就能得到系统通知事件,随后程序根据相干规则判定是不是是非法篡改,如果是非法篡改就立即给予恢复。可以看出,该技术是典型的“后发制人”,即非法篡改已产生后才可进行恢复,其安全隐患有3:1、如果黑客采取“连续篡改”的攻击方式,则很有可能永久也没法恢复,公众看到的一直是被篡改的页。由于:篡改产生后,防篡改程序才尝试进行恢复,这有一个系统延迟的时间间隔,而“连续篡改”攻击则是对一个文件进行每秒上千次的篡改,如此一来,“后发制人”的方式永久也赶不上“连续篡改”的速度。2、如果文件被非法篡改后,立即被歹意劫持,则防篡改进程将没法对该文件进行恢复。3、目录监控的安全性受制于防篡改监控进程的安全性,如果监控进程被强行终止,则防篡改功能就立刻消失,站目录就又面临被篡改的危险。核心内嵌技术特点与安全隐患这也是目前的主流技术之一,该技术以无进程、篡改页没法流出、使用密码学算法作支持而著称,其原理是:对每个流出的页进行数字水印(也就是HASH散列)检查,如果发现当前水印和之前记录的水印不同,则可判定该文件被篡改,并且阻挠其继续流出,并传唤恢复程序进行恢复。该技术的安全隐患有3:1、市面上“数字水印”的密码学算法,无一例外地使用MD5(Message-Digestalgorithm5)散列算法,该散列算法由于上到处都有现成的代码可以直接拷贝,而且在计算KB之内的小文件时速度可以忍耐,因此之前在密码存储和文件完整性校验方面广为应用。不过,在年我国密码学家山东大学的王小云教授攻破了包括这1算法在内的多种密码学算法,使得捏造出具有相同数字水印而内容截然不同的文件立刻成为了现实。当“数字水印”技术使用一个已被攻破的脆弱算法时,其安全性也就轰然倒塌了。2、“数字水印”技术在计算大于KB大小的文件“指纹”时,其速度将随着文件的增大而逐渐下降到让人没法忍耐的地步,因此大多数产品都会默认设置一个超过xxxKB的文件不进行数字水印检查规则。如此一来,黑客只要把非法篡改文件的大小调剂到xxxKB以上,就可以让非法文件自由流出了。“数字水印”技术安全隐患的根本成因是密码学水印算法的安全性,和水印算法速度与公众访问页速度的矛盾。由于目前MD4、MD5、SHA-1、RIPEMD等相对快速的水印算法均被破解,其安全性都已荡然无存。因此,在新的又快速又安全的新水印算法发明之前,上述两种安全隐患将永久是“数字水印”技术的梦魇。3、计算每一个要求文件的水印散列,必须将计算水印散列的功能模块插入到web服务软件中,比如IIS的ISAPIFilter/Extension,Apache的模块等。换句话说,基于核心内嵌技术的防篡改产品,关键点就在于向web服务软件中插入了计算水印散列模块,一旦计算水印散列模块被卸载,那末防篡改功能将立即消失,被篡改页就可以随便流出被公众阅读到。
文件过滤驱动技术特点与安全隐患这是新兴的一种防篡改技术,其原理是采取操作系统底层文件过滤驱动技术,拦截与分析IRP流,对所有受保护的站目录的写操作都立即截断,与“事件触发技术”的“后发制人”相反,该技术是典型的“先发制人”,在篡改写入文件之前就阻挠。该技术貌似密不透风,拦截了一切篡改的可能,其安全隐患有3:1、基于实际运用中各种复杂环境与因素的斟酌,操作系统的设计者在系统内核底层设计了多种可以读写文件的方式,相干数据流不单单是走文件过滤驱动这一条线。络上大家经常使用的各种“文件粉碎机”强迫删除固执文件就是基于相干原理的。2、文件路径表示除正常的方式以外,还可以用DOS8.3文件路径表示法,当文件名的长度超过8个字符时,就可以用DOS8.3路径表示。3、如果操作系统存在默许同享,文件路径表示除上述方法以外,还可以用络路径表示法,并且任意文件、任意文件名长度的都适用。
北京中科医院是假的吗中科白癜风