網站安全防護詳解,為何采取防護措施的網站依然被攻擊呢?原因很簡單,傳統的網頁防篡改軟件自身存在著致命的防護漏洞:防火牆不能防80端口的Web應用;IDS/IPS特征庫只能保護Windows等通用系統,不能保護用戶自己編寫的代碼。
綜合來說,傳統的網頁防篡改軟件有三大防護漏洞:
一、無法比對動態頁面
網頁防篡改軟件的實現機制是定期比對頁面,如果發現頁面不一致,則將頁面恢復為備份的原始頁面。
這種方式的症結是只能比對靜態頁面,不能比對動態頁面。
以某網站新聞版塊頁面為例:
標題欄中的“國內新聞”和頁面框架是固定的,可以進行比對。但是最新的新聞條目是從數據庫中實時提取、動態生成的,每次都不一樣,這部分是無法比對的。
二、“事後恢復”治標不治本
傳統的網頁防篡改軟件采用“事後恢復”的方式,治標不治本。試想看,不能主動保護,只能被動恢復,將會出現恢復後又被黑的情況。由於目前的很多攻擊實際上是工具自動完成的,極有可能使頁面不斷被黑,對外表現的始終是被黑的頁面。
三、無法滿足合規性檢查要求
近年來,國家愈加重視網站安全檢查工作,特別是在重大節慶活動前夕,都要對相關單位的網站進行細致檢查。
檢查專家組是如何對網站進行檢查的呢?專家會采用各種黑客手段攻擊網站,由於網頁防篡改軟件不能進行“事前防御”,因此頁面就會被黑掉。雖然被檢查單位可以表明事後能恢復過來,但是在檢查時很難通過,進而將影響整個單位的檢查評估結果。
目前,中國軟件評測中心對所有副省級以上城市的下轄單位提出的多項檢查細則要求都是網頁防篡改軟件無法做到的。