web安全---被動類安全產品技術分析
jack zhai
一、web安全產品分析
圍繞web服務的安全,產品可以說五花八門,最基本的是接入網入口的utm閘道器,其中ips功能與防ddos功能是web伺服器系統級入侵的直接防護,但utm是通用的邊界安全閘道器,非「專業的」web入侵防護,一般作為安全的入門級防護,這裡不細說。這裡主要分析專為web服務開發的安全產品,大概有下面幾方面的產品:
1、網頁防篡改產品:
防護未知攻擊是難的,但看好我自己的「家底」是相對容易的。因此,人們最先想到的就是網頁防篡改技術,保持自己的「純潔」,起碼對社會不會造成大危害。網頁被篡改產品出現在web早期,幾經風雨,各廠家技術逐漸統一。網頁防篡改技術的基本原理:是對web伺服器上的頁面檔案(目錄下檔案)進行監控,發現有更改及時恢復。所以該產品實際是乙個「修補」的工具,不能阻止攻擊者的篡改,就來個守株待兔,專人看守,減少損失是目標,防篡改屬於典型的被動防護技術。
網頁防篡改產品的部署:建立一台單獨的管理伺服器(web伺服器數量少可以省略),然後在每台web伺服器上安裝乙個agent程式,負責該伺服器的「網頁檔案看護」,管理伺服器是管理這些agent看護策略的。
我們先分析一下「頁面檔案看護」技術的變遷:
a)第一代技術,把web伺服器主目錄下的檔案做乙個備份,用乙個定時迴圈程序,把備份的檔案與服務使用的檔案逐個進行比較,不一樣的就用備份去覆蓋。**更新發布時,則同時更新主目錄與備份。這種方法在**大的情況下,網頁數量巨大,掃瞄一遍的時間太長,並且對web伺服器效能也是擠占。
b)第二代技術,採用了hash演算法,對主目錄下的每個檔案做hash,生成該檔案的「指紋」,定時迴圈程序直接計算服務用檔案的hash指紋,然後進行指紋核對,指紋一般比較小,比較方便;指紋具有不可逆的特點,不怕仿製。
c)第三代技術,既然**上頁面太多,**以下頁面的訪問量,一般使用呈指數級下降,沒人訪問當然也不會被篡改,在這些頁面重複掃瞄是不划算的。改變一下思路:對檔案讀取應該沒有危險,危險的是對檔案的改寫操作。若只對檔案被改變時才做檢查,就可以大大降低對伺服器資源的占用;具體做法是:開啟乙個看守程序,對web伺服器的主目錄檔案刪改操作進行監控,發現有此操作,判斷是否有合法身份,是否為授權的維護操作,否則阻斷其執行,檔案不被改寫,也就起到了網頁防篡改的目的。這個技術也稱為事件觸發防篡改。
這種技術需要考驗對伺服器作業系統的熟悉程度,但黑客也是高手,你的看護程序是使用者級的,黑客可以獲得高階許可權,繞過你的「訊息鉤子」,監控就成了擺設。
d)***技術,既然是比誰的程序許可權高,讓作業系統幹這個活兒,應該是最合適的,黑客再牛也不可能越過作業系統自己「幹活」。因此,在windows系統中,提供系統級的目錄檔案修改看護程序(系統呼叫),防篡改產品直接呼叫就可以了,或者利用作業系統自身的檔案安全保護功能,對主目錄檔案進行鎖定(windows對自己系統的重要檔案也採取了類似的防篡改保護,避免病毒的侵擾),只允許**發布系統(網頁公升級更新)才可以修改檔案,其他系統程序也不允許刪改。
這個方法應該說比較徹底,但可以看出,以後防篡改技術將成為作業系統的「專利」了,安全廠家實在是不願意看到的。好在目前linux還沒有支援。
網頁防篡改系統可以用於web伺服器,也可以用於中介軟體伺服器,其目的都是保障網頁檔案的完整性。
網頁防篡改對保護靜態頁面有很好的效果,但對於動態頁面就沒有辦法了,因為頁面是使用者訪問時生成的,內容與資料庫相關。很多sql注入就是利用這個漏洞,可以繼續入侵web伺服器。
到目前為止,很多網頁防篡改產品中都提供了乙個ips軟體模組,用來阻止來針對web服務的sql注入、xml注入攻擊。如國內廠家的webguard、iguard、inforguard等產品。
2、web資料庫審計產品:
有效恢復是安全保障的乙個很重要的理念。我們提到動態網頁的防護難點是用資料庫現場生成的,因此對資料庫的修改就變得很關鍵, web資料庫審計產品的目的就是對資料的所有操作進行記錄,當發現問題時,這些操作可以回溯。打個比方,你在遊戲中的裝備被別人給「劃走」了,過了一周,你發現了,但一周中,遊戲在繼續,你的裝備有很多新動態,合理與不合理變化交織在一起。此時,若管理人員知道確定是「某人」的篡改,就可以把他的動作進行「逆向」操作,你的遊戲仍可以繼續,不受影響;若通過協商,需要恢復到篡改前的某個狀態,則在資料庫中先取得篡改前最近一次的備份資料,再使用資料庫的審計記錄,一直「操作」到篡改前的狀態,遊戲就可以繼續了。這種技術與資料庫的實時同步備份技術是類似的。
web資料庫審計的目的與通常的安全審計產品的不同,取證與重現過程是第二位的,而對資料的可回溯操作是第一位的,有人理解為資料恢復是資料備份與容災系統的工作,其實只是其中的乙個方面,對整個資料庫應該是這樣的,但對單個使用者的資料的恢復是這裡的審計來解決的。這裡的審計有些像資料庫的操作日誌,但需要關聯到操作的賬戶,後者是操作者是身份。
當然資料的操作量很大,全部記錄需要很大的資料空間,所以,web服務中重要資料庫操作才進行詳細審計,審計的目的是為了運營狀態的可恢復。常見的web審計資料:
²帳戶操作:涉及許可權的改變
²運營操作:涉及「財與物」的變化
²維護操作:涉及「特殊許可權」人的動作
web資料庫審計產品一般採用旁路部署,不影響資料庫的業務效率。若在業務流量不很大的情況下,可以採用agent的軟體方式,但是不建議完全依靠資料庫自身的日誌功能,因為,入侵者破壞後一定有「抹去痕跡」的步驟,痕跡一般就是系統本身的日誌,單獨的審計機制保障了日誌的完整性。
關於安全產品和安全服務
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
關於安全服務和安全產品
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
騰訊雲安全產品介紹第五章 業務安全產品天御
防刷服務 技術原理 地域屬性 業務屬性 惡意屬性 自然人畫像 qq畫像 裝置畫像 防刷服務優勢 銀行卡支付防盜刷 線上營銷風控 天御反欺詐服務 技術原理 技術優勢 應用場景 產品計費方案 活動防刷 按呼叫次數包年 超出 的按次數區間表月結。註冊保護 提供按次呼叫的包年 登入保護 基於每日防護上限次數...