中小型網(wǎng)站制作時(shí)安全性分析與研究詳解，小型公司的宣傳網(wǎng)站也是的當(dāng)下網(wǎng)站制作公司制作最多的一種網(wǎng)站了，由于這種網(wǎng)站是好多的公司都能使用得到的，并且方便與用戶通過(guò)網(wǎng)站將自己公司的產(chǎn)品或者服務(wù)上傳到網(wǎng)絡(luò)公司，方便與公司的產(chǎn)品或者宣傳和推廣了，但是這種方面最多，由于這種小網(wǎng)站基本上很簡(jiǎn)單，沒(méi)有什么技術(shù)門檻，只要是個(gè)懂技術(shù)的人都是能制作的出來(lái)，但是問(wèn)題是即使你能制作出來(lái)這樣的網(wǎng)站，但是網(wǎng)站的安全性以及穩(wěn)定性如何，是需要時(shí)間的驗(yàn)證的，往往用戶在日常找<a href="http://www.szbc888.com" target="_blank"><strong>網(wǎng)站制作公司</strong></a>的時(shí)候，也很少去關(guān)注這些網(wǎng)站的安全和穩(wěn)定的，接下來(lái)我們來(lái)聽一下<a href="http://www.szbc888.com" target="_blank"><strong>深圳網(wǎng)頁(yè)制作</strong></a>公司的技術(shù)是怎么說(shuō)的。<br /> 1 網(wǎng)頁(yè)防篡改的意義和應(yīng)對(duì)措施&nbsp;<br /> &emsp;&emsp;目前，企事業(yè)單位網(wǎng)站一般搭建在Windows或Linux服務(wù)器上，對(duì)web服務(wù)器來(lái)說(shuō)，包含的風(fēng)險(xiǎn)不僅是服務(wù)器宕機(jī)或者網(wǎng)站癱瘓，更嚴(yán)重的是被黑客入侵后上傳了木馬文件，由于木馬文件是可執(zhí)行文件或具有可執(zhí)行腳本，能夠篡改網(wǎng)站文件使其鏈接到廣告、游戲甚至國(guó)外政治敏感站點(diǎn)，所以危害極大。對(duì)網(wǎng)站管理者來(lái)說(shuō)，防止木馬文件上傳和網(wǎng)頁(yè)被篡改非常重要！網(wǎng)頁(yè)防篡改的基本要求是：及時(shí)發(fā)現(xiàn)和處理上傳的木馬和被篡改的正常文件。常見(jiàn)的防護(hù)措施包括：&nbsp;<br /> &emsp;&emsp;（1） 加固服務(wù)器安全設(shè)置，包括禁止遠(yuǎn)程操作注冊(cè)表、禁用CMD命令、開啟防火墻等。&nbsp;<br /> &emsp;&emsp;（2） 安裝安全狗、云盾、防篡改等商業(yè)軟件或者購(gòu)買硬件防護(hù)設(shè)備（WAF）。&nbsp;<br /> &emsp;&emsp;兩類措施各有不足，第一類措施強(qiáng)化了服務(wù)器的安全，但是對(duì)HTTP的80端口攻擊無(wú)能為力，例如SQL注入、XSS攻擊等。第二類措施需要購(gòu)買昂貴的商業(yè)產(chǎn)品，不適于資金緊張的中小型網(wǎng)站。&nbsp;<br /> &emsp;&emsp;2 本文的防篡改系統(tǒng)設(shè)計(jì)思路&nbsp;<br /> &emsp;&emsp;中小網(wǎng)站管理者缺少足夠的資金，無(wú)法將安全工作外包或購(gòu)買安全設(shè)備，卻往往具有一定的編程能力或者豐富的網(wǎng)站安全經(jīng)驗(yàn)，本文根據(jù)這一情況設(shè)計(jì)了適合于中小型網(wǎng)站的防篡改系統(tǒng)，根據(jù)此設(shè)計(jì)開發(fā)的軟件可以24小時(shí)運(yùn)行在Windows或Linux服務(wù)器上，以后臺(tái)服務(wù)方式保護(hù)網(wǎng)站，設(shè)計(jì)思路包含兩類防護(hù)措施。&nbsp;<br /> &emsp;&emsp;（1） 文件監(jiān)聽和合法性檢查&nbsp;<br /> &emsp;&emsp;Windows和Linux系統(tǒng)都提供了文件系統(tǒng)的事件觸發(fā)機(jī)制，當(dāng)操作系統(tǒng)監(jiān)聽到文件被創(chuàng)建、修改和重命名時(shí)，會(huì)觸發(fā)相應(yīng)事件并調(diào)用對(duì)應(yīng)的方法，在方法中執(zhí)行文件合法性檢查，就能實(shí)時(shí)監(jiān)測(cè)網(wǎng)站文件的變化，實(shí)現(xiàn)被動(dòng)防護(hù)[1][2]。&nbsp;<br /> &emsp;&emsp;（2） 設(shè)計(jì)蜜罐頁(yè)面和入侵痕跡檢索&nbsp;<br /> &emsp;&emsp;為了進(jìn)一步提高防護(hù)能力，增加了主動(dòng)防護(hù)措施，在網(wǎng)站目錄中設(shè)計(jì)蜜罐頁(yè)面，“引誘”入侵者訪問(wèn)此頁(yè)面，從而在日志文件中留下痕跡，通過(guò)分析日志檢索并屏蔽非法IP。&nbsp;<br /> &emsp;&emsp;3 文件監(jiān)聽和合法性檢查&nbsp;<br /> &emsp;&emsp;3.1 業(yè)務(wù)邏輯&nbsp;<br /> &emsp;&emsp;（1） 對(duì)網(wǎng)站文件進(jìn)行監(jiān)聽&nbsp;<br /> &emsp;&emsp;Windows平臺(tái)可以使用FileSystemWatcher類對(duì)指定的文件夾進(jìn)行監(jiān)聽，也可以使用JNotify包進(jìn)行監(jiān)聽，由于后者兼容Linux平臺(tái)，所以建議使用后者，兩種監(jiān)聽技術(shù)都對(duì)文件的內(nèi)容修改、創(chuàng)建、重命名、刪除等事件提供了觸發(fā)機(jī)制，重點(diǎn)監(jiān)聽創(chuàng)建、修改和重命名事件的發(fā)生，以下是事件的觸發(fā)條件、參數(shù)和處理方法。&nbsp;<br /> &emsp;&emsp;（2） 文件合法性檢查&nbsp;<br /> &emsp;&emsp;以Create事件為例，檢查參數(shù)文件是否為木馬依賴于網(wǎng)站的配置、運(yùn)行特征和管理員的安全經(jīng)驗(yàn)，不同的網(wǎng)站需要設(shè)置不同的檢查規(guī)則，以某中學(xué)網(wǎng)站為例，總結(jié)并形成如表2所示的幾條規(guī)則。&nbsp;<br /> &emsp;&emsp;規(guī)則等級(jí)的數(shù)值越大表示檢驗(yàn)優(yōu)先級(jí)越高，最先檢查的是文件上傳（創(chuàng)建）時(shí)間，因?yàn)榫W(wǎng)站編輯一般在每天6：30～23：00內(nèi)工作，所以此時(shí)間段之外上傳的文件違規(guī);其次檢查上傳文件是否位于UploadFile目錄下，位于此目錄之外違規(guī);接下來(lái)檢查上傳文件類型是否為動(dòng)態(tài)腳本或可執(zhí)行文件，若是則違規(guī);最后以文本形式打開文件，檢查內(nèi)容是否含有暗鏈或非法關(guān)鍵詞，若存在則違規(guī)。所有規(guī)則檢查結(jié)果為真表示上傳文件合法，可以保留在網(wǎng)站上，違反任意一條就視為非法文件進(jìn)行處理。&nbsp;<br /> &emsp;&emsp;（3） 非法文件處理&nbsp;<br /> &emsp;&emsp;由于非法文件可能是入侵者上傳的，這說(shuō)明此時(shí)的網(wǎng)站很可能已經(jīng)被黑客攻破，服務(wù)器肯定存在漏洞，需要執(zhí)行以下操作：&nbsp;<br /> &emsp;&emsp;1） 加密非法文件并備份到某個(gè)隱藏位置后刪除此文件。&nbsp;<br /> &emsp;&emsp;2） 根據(jù)非法文件名稱和上傳時(shí)間，在網(wǎng)站日志中查找來(lái)源IP，發(fā)現(xiàn)后屏蔽。&nbsp;<br /> &emsp;&emsp;3） 發(fā)送手機(jī)短信給管理員。&nbsp;<br /> &emsp;&emsp;4） 將非法文件信息寫入自定義日志，以備日后分析服務(wù)器漏洞。&nbsp;<br /> &emsp;&emsp;3.2 開發(fā)實(shí)現(xiàn)&nbsp;<br /> &emsp;&emsp;上述設(shè)計(jì)思路已經(jīng)使用Java語(yǔ)言實(shí)現(xiàn)，主要包含以下幾個(gè)技術(shù)要點(diǎn)。&nbsp;<br /> &emsp;&emsp;（1） 讀取XML配置文件&nbsp;<br /> &emsp;&emsp;由于不同網(wǎng)站的配置、運(yùn)行情況很不相同，所以監(jiān)聽網(wǎng)站前先要讀取XML文件初始化參數(shù)，包括監(jiān)聽的網(wǎng)站目錄、禁止上傳的文件類型、日志位置、上傳文件所在目錄、發(fā)送短信參數(shù)等。&nbsp;<br /> &emsp;&emsp;（2） 監(jiān)聽工具&nbsp;<br /> &emsp;&emsp;服務(wù)程序使用Java的JNotify組件進(jìn)行監(jiān)控，程序運(yùn)行后調(diào)用監(jiān)控類，監(jiān)控類繼承于JNotifyListener接口，需要開發(fā)者重寫fileRenamed、fileModified、fileCreated等方法，發(fā)生了某個(gè)事件就執(zhí)行對(duì)應(yīng)方法。&nbsp;<br /> &emsp;&emsp;（3） 使用Drools引擎實(shí)現(xiàn)業(yè)務(wù)邏輯規(guī)則化&nbsp;<br /> &emsp;&emsp;文件合法性檢查歸結(jié)為一組業(yè)務(wù)規(guī)則的執(zhí)行，建議使用Drools引擎來(lái)實(shí)現(xiàn)業(yè)務(wù)邏輯的規(guī)則化[3][4]，開發(fā)者可以針對(duì)各類觸發(fā)事件，分別編寫出每組業(yè)務(wù)規(guī)則并形成DRL文件，Drools引擎解析、執(zhí)行文件包含的所有規(guī)則，這大大簡(jiǎn)化了傳統(tǒng)的高級(jí)語(yǔ)言編程，以表2的時(shí)間限制規(guī)則為例，只要將它的Salience屬性定義為四個(gè)規(guī)則中的最大值，就可以最先執(zhí)行，參數(shù)6：30和23：00可以在規(guī)則中直接修改且不需要重新編譯，此規(guī)則調(diào)用外部java類靜態(tài)方法檢測(cè)時(shí)間的合法性，這樣就將業(yè)務(wù)邏輯和類庫(kù)代碼分離開了。 （4） IP屏蔽技術(shù)&nbsp;<br /> &emsp;&emsp;若發(fā)現(xiàn)網(wǎng)站被上傳了非法文件，可以根據(jù)文件上傳時(shí)間或者事件觸發(fā)時(shí)間在網(wǎng)站日志中查找入侵IP，重點(diǎn)查找POST操作，發(fā)現(xiàn)后使用Java語(yǔ)句調(diào)用IPTABLES命令實(shí)現(xiàn)IP屏蔽。在Windows系統(tǒng)中可以調(diào)用IPSEC安全策略中的netsh命令實(shí)現(xiàn)IP屏蔽。&nbsp;<br /> &emsp;&emsp;（5） 手機(jī)短信通知&nbsp;<br /> &emsp;&emsp;使用訂購(gòu)的中國(guó)移動(dòng)云MAS服務(wù)，可以使用MAS服務(wù)提供的接口編寫Java短信類，將非法文件的文件名、處理方式和違反的規(guī)則名稱等參數(shù)寫入預(yù)定義模板發(fā)送給網(wǎng)站管理員，實(shí)現(xiàn)24小時(shí)短信通知。&nbsp;<br /> &emsp;&emsp;4 設(shè)計(jì)蜜罐頁(yè)面和入侵痕跡檢索&nbsp;<br /> &emsp;&emsp;4.1 設(shè)計(jì)蜜罐頁(yè)面&nbsp;<br /> &emsp;&emsp;入侵者為了找到網(wǎng)站漏洞，總是先用工具軟件掃描網(wǎng)站，尤其是最常見(jiàn)的登錄和管理頁(yè)面，例如login.asp、index.asp等，這為網(wǎng)站防御提供了一個(gè)蜜罐“誘騙”思路[5][6]：將正常使用的后臺(tái)登錄和管理頁(yè)面重命名隱藏起來(lái)，然后在網(wǎng)站根目錄下添加login或index等蜜罐頁(yè)面，這些頁(yè)面不提供任何服務(wù)功能，正常用戶應(yīng)該訪問(wèn)不到，只是是為了引誘入侵者訪問(wèn)。&nbsp;<br /> &emsp;&emsp;服務(wù)程序定時(shí)讀取日志文件，每次讀取從上次日志結(jié)尾開始，利用正則表達(dá)式檢索訪問(wèn)了蜜罐頁(yè)面的IP，這些IP一定是嘗試入侵者，由于入侵者找到漏洞并成功入侵總是需要時(shí)間的，在不嚴(yán)重增加服務(wù)器負(fù)擔(dān)的情況下，采用較小時(shí)間間隔定時(shí)檢索日志，可以及時(shí)發(fā)現(xiàn)大多數(shù)入侵企圖。&nbsp;<br /> &emsp;&emsp;4.2 入侵痕跡的擴(kuò)展檢索&nbsp;<br /> &emsp;&emsp;除了發(fā)現(xiàn)蜜罐頁(yè)面的來(lái)訪IP之外，還可以同時(shí)檢索SQL注入和XSS入侵痕跡，它們的表現(xiàn)是在GET或POST請(qǐng)求的URL字符串中含有非法字符和單詞，包括：&nbsp;<br /> &emsp;&emsp;（1） 西文的單引號(hào)、雙引號(hào)、中括號(hào)和星號(hào)等，重點(diǎn)檢查單引號(hào)。<br /> 來(lái)訪的URL字符串都記錄在網(wǎng)站日志文件中，為了盡可能發(fā)現(xiàn)攻擊性URL，建議管理員將待檢索的非法字符和單詞寫成正則表達(dá)式去匹配URL，若匹配則說(shuō)明此URL含有攻擊，例如“.*select.*or”表示在URL查找select和or，匹配成功表明此URL存在SQL攻擊。&nbsp;<br /> &emsp;&emsp;由于SQL的攻擊URL復(fù)雜多變，管理員需要不斷更新，而Drools規(guī)則的修改不需要重新編譯程序源代碼，所以建議將待檢索的正則表達(dá)式串編入Drools規(guī)則，在規(guī)則中調(diào)用外部類靜態(tài)方法驗(yàn)證來(lái)訪URL是否與之匹配。&nbsp;<br /> &emsp;&emsp;5 運(yùn)維和管理&nbsp;<br /> &emsp;&emsp;建議以命令行方式在服務(wù)器上安裝程序和所需的Drools開發(fā)包，以后臺(tái)服務(wù)形式24小時(shí)伴隨網(wǎng)站運(yùn)行，為了保證服務(wù)在線運(yùn)行，將程序設(shè)置為開機(jī)啟動(dòng)并定時(shí)檢查進(jìn)程是否存在，在Window Server中使用計(jì)劃任務(wù)和PowerShell實(shí)現(xiàn)，在Linux系統(tǒng)中使用Crond和Shell實(shí)現(xiàn)。&nbsp;<br /> &emsp;&emsp;為了有效管理服務(wù)器的防篡改系統(tǒng)運(yùn)行，開發(fā)Android手機(jī)端App，APP能夠基于SSH協(xié)議向服務(wù)器發(fā)送指令，實(shí)現(xiàn)以下功能。&nbsp;<br /> &emsp;&emsp;（1） 請(qǐng)求并接收服務(wù)器端認(rèn)定的非法文件信息，以供管理員瀏覽、分析。&nbsp;<br /> &emsp;&emsp;（2） 發(fā)送文件恢復(fù)指令，將誤刪除的文件恢復(fù)到原位置。&nbsp;<br /> &emsp;&emsp;（3） 發(fā)送IP操作指令，解除誤屏蔽的IP。&nbsp;<br /> &emsp;&emsp;（4） 定時(shí)發(fā)送HTTP請(qǐng)求，檢查網(wǎng)站是否可以正常訪問(wèn)。&nbsp;<br /> &emsp;&emsp;（5） 發(fā)送重啟網(wǎng)站、重啟和關(guān)閉服務(wù)器的指令。&nbsp;<br />