隐私泄露与网站篡改预防方式范文

引言

元搜索引擎是通过一个统一用户界面，帮助用户在多个搜索引擎中选择和利用合适的搜索引擎，有时甚至同时利用若干个搜索引擎来实现检索操作，是对分布于网络的多种检索工具的全局控制机制[1]。网络迅速的发展，网站越来越给人们的生活带来更多的方便，但同时，越来越多的网站，也为黑客们实施各种各样的攻击提供了更大的可能性，黑客总能运用一些手段找寻网站上的漏洞并实施攻击，甚至篡改网页，很多个人隐私信息被在网络上公开[2]，越来越加重了“网络监察”的工作负担。面向整个万维网的网站篡改攻击监测工作，具有很大的挑战性，相关的研究和实践工作也不多[3]。Zone-网站采用匿名提交方式，允许攻击者或第三方提交网站的篡改攻击信息[4]，但由于该站点已成为黑客社区用于收集和统计网站篡改攻击的首要站点，网络骇客们为了在黑帽子社群中获得更高的评价和技术认同，己较为普遍地通过该网站他们的“战绩”，以争取在该网站攻击统计中的更佳排名。国内的Zone-网站采用了类似的方法，但它关注范围仅限于中国国内互联网，这种以匿名自愿提交方式构建的列表，为网站篡改监测提供了一定帮助，但存在着监测面受限等明显弱点[5]。还有一些非法分子通过“敏感词”来“色情”网站，用户打开该“网站”时，服务器端直接下载一个“网页木马”到客户端，进而盗取客户重要信息。本文引入元搜索引擎技术对网站篡改攻击进行发现，并达到过滤“敏感词”、解决隐私泄露问题的目的。

1、面向被篡改网站发现的元搜索引擎技术

元搜索引擎模块通过集成perl程序档案库中已有的GoogleAJAXSearchAPI、Baidu及Yahoo!SearchPublicAPI，查询请求的语法要求存在较大差异[6]，如对于在网页标题中查找“hackedby”关键字，搜索范围限制于“”域名的查询。被篡改网站页面存在较高的动态变化性，网站管理员在发现页面被篡改后，应迅速移除替换页面并恢复至正常状态。为了能够获取到在监测时间点确认的篡改网站攻击事件，如图1，设计确认综合模块对元搜索引擎模块获取的页面链接进行下载和内容确认，通过检查最新下载页面中是否仍含有用于识别篡改页面的查询关键字，进行该页面是否被篡改的判断。经确认后的被篡改网站信息经过综合之后输出至MySQL数据库中提供给用户。确认机制的引入使得元搜索引擎工具能够输出确定性的篡改网站攻击事件信息，而非包含大量误报的疑似攻击事件信息，这对支持有效的安全应急响应具有重要意义。

2、过滤“敏感词”的元搜索引擎技术

创建SensitiveWordsFilterAttribute：新建一个类SensitiveWordsFilterAttribute，从ActionFilterAttribute继承，重写OnActionExecuting方法：publicclassSensitiveWordsFilterAttribute:ActionFilterAttribute{publicoverridevoidOnActionExecuting(ActionExecutingContextfilterContext){varparameters=filterContext.ActionDescriptor.GetParameters();foreach(varparameterinparameters){if(parameter.ParameterType==typeof(string)){//获取字符串参数原值varorginalValue=filterContext.ActionParameters[parameter.ParameterName]asstring;//使用过滤算法处理字符串varfilteredValue=SensitiveWordsFilter.Instance.Filter(orginalValue);//将处理后值赋给参数filterContext.ActionParameters[parameter.ParameterName]=filteredValue;}}}}通过filterContext.ActionDescriptor.GetParameters()方法能获取到所有参数的详细信息。通过filterContext.ActionParameters可以获取和设置参数的值。附加过滤功能：将SensitiveWordsFilterAttribute标在Controller或Action上：[SensitiveWordsFilter]publicclassArticlesController:Controller{//...}

3、元搜索引擎技术解决个人信息泄露

在个人信息泄露中，一个最大的安全隐患就是搜索引擎抓取的网页快照，一般情况下，搜索引擎都不会自动删除网页快照，只要其被搜索引擎收录，其信息就能访问。因此要解决网站信息泄露问题，其中一个关键的问题就是要删除网页快照。首先编写特殊的robots.txt。当一个搜索机器人访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt,如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围：如果该文件不存在，那么搜索机器人就沿着链接抓取。元搜索引擎用robots.txt设置规则如下：

(1)禁止所有搜索引擎访问网站的任何部分。User-agent:*Allow:/searchhistory/Disallow:/

(2)禁止所有搜索引擎访问网站的目录User-agent:*Disallow:/目录名/

(3)禁止BadBot搜索引擎的访问User-agent:CrawlerDisallow:User-agent:*Disallow:/然后，元搜索引擎对网页进行授权访问，例如只有登录以后的用户可以访问某一些网络资源，而对于普通用户则禁止访问。以ASP编程语言为例，可以新建一个checklogin.asp的网页文件，然后在其中输入：<%IfSession(“MySystem_LoginUser”)=””thenResponse.redirect“Login.asp”Endif%>在网站需要进行限制访问的网页程序中包含该网页即可。

4、结束语

元搜索引擎是为弥补传统搜索引擎的不足而出现的一种辅助检索工具，有着传统搜索引擎所不具备的许多优势。实验证明，在网络监察工作中，可以很好地利用元搜索引擎进行网站篡改的发现追踪、防止个人隐私信息的泄露和过滤搜索结果中的敏感关键词。元搜索引擎依赖于数据库选择技术、文本选择技术、查询分派技术和结果综合技术等。用户界面的改进、调用策略的完善、返回信息的整合以及最终检索结果的排序，是未来元搜索引擎研究的重点。