日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

今天借著烽火臺系列寫一篇關于網頁防篡改的文章，因為小編平日里與客戶交流發(fā)現(xiàn)，目前網頁的篡改問題仍然是客戶最為頭疼的網絡安全問題之一。而提到“防篡改”，大多數(shù)人第一時間想到的是“防篡改系統(tǒng)”。而小編要說的是：

“防篡改系統(tǒng)”≠“防篡改”  防篡改系統(tǒng)的前世今生

防篡改系統(tǒng)發(fā)展至今共經歷了四代技術(每代技術各家叫法不同，但原理基本相同)，而這四代技術在不同的年代都解決了一定的問題，但同時也因為暴露的缺陷而不斷更迭。

第一代技術：時間輪詢技術

這是早期使用的技術，顧名思義，其是采用定時循環(huán)掃描，且每次掃描均從頭到尾進行。

該機制有兩大問題：

1、現(xiàn)在的網站少則幾千個文件，大則幾萬，幾十萬個文件，輪詢機制不僅需要耗費大量的時間，還會大大影響服務器性能。

2、因為存在掃描的間隙，所以會存在 “盲區(qū)”，這段時間內外部的訪問均是被篡改的頁面，“盲區(qū)”的時長由網站文件數(shù)量、磁盤性能、CPU性能等眾多客觀因素來決定。

第二代技術：事件觸發(fā)技術

該技術以穩(wěn)定、可靠、占用資源極少著稱，其原理是利用操作系統(tǒng)的文件系統(tǒng)或驅動程序接口，在網頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

可以看出，該技術是典型的“后發(fā)制人”，即非法篡改已經發(fā)生后才可進行恢復，其存在兩大問題：

1、如果采取“連續(xù)篡改”的攻擊方式，由于是篡改后程序才進行檢查和恢復，則同樣會存在一個系統(tǒng)延遲的時間間隔，而連續(xù)篡改往往利用自動化腳本每秒上千次篡改，這會導致大眾訪問的一直是篡改后網站。

2、目錄監(jiān)控的安全性受制于防篡改監(jiān)控進程的安全性，如果監(jiān)控進程被強行終止，則防篡改功能就立刻消失，網站目錄就又面臨被篡改的危險。

第三代技術：核心內嵌技術

核心內嵌技術即數(shù)字水印技術，最初先將網頁內容采取非對稱加密存放，在外來訪問請求時將經過加密驗證過的，進行解密對外發(fā)布，若未經過驗證，則拒絕對外發(fā)布，調用備份網站文件進行驗證解密后對外發(fā)布。

這樣即使黑客成功對內容進行了修改，也不能對外發(fā)布。表面看上去，這種技術非常完善，但沒有100%的安全，此類方式同樣存在問題：

1、市面上“數(shù)字水印”的密碼學算法，無一例外地使用 MD5散列算法，該散列算法在2004年被我國密碼學家山東大學的王小云教授攻破，使得偽造出具有相同數(shù)字水印而內容截然不同的文件立刻成為了現(xiàn)實。目前，包括MD5在內多種密碼學算法在網絡中基本成為“公開的秘密”。當“數(shù)字水印”技術使用一個已被攻破的脆弱算法時，其安全性也就轟然倒塌了。

2、“數(shù)字水印”技術在計算大于100KB大小的文件“指紋”時，其速度將隨著文件的增大而逐步下降到讓人無法忍受的地步，因此大多數(shù)產品都會默認設置一個超過xxx KB的文件不進行數(shù)字水印檢查規(guī)則。關于這項安全隱患，讀者可以隨便找個10MB以上的文件放入網站目錄中，然后再訪問該文件，如果發(fā)現(xiàn)文件可以訪問或者下載，即可證明當前使用的防篡改產品存在該安全隱患。

3、數(shù)字水印屬于模塊化功能，需插入web服務軟件中，這種缺陷導致一旦計算水印散列模塊被卸載，防篡改能力隨即消失。

第四代技術：文件過濾驅動技術

文件過濾驅動技術是目前主流防篡改廠商所采用的技術，通常與事件觸發(fā)技術配合使用。其原理是采用操作系統(tǒng)底層文件過濾驅動技術，攔截與分析IRP流，對所有受保護的網站目錄的寫操作都立即截斷，且整個文件復制過程為毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到很高的水準。

這種方式的確大大增大了黑客篡改的難度，但仍然做不到100%安全，隨手在互聯(lián)網上搜索，就會發(fā)現(xiàn)其仍然有很多缺陷:

1、基于實際應用中各種復雜環(huán)境與因素的考慮，操作系統(tǒng)的設計者在系統(tǒng)內核底層設計了多種可以讀寫文件的方式，相關數(shù)據流不單單是走文件過濾驅動這一條線。網絡上大家常用的各種“文件粉碎機”強制刪除頑固文件就是基于相關原理的。(繞過代碼網上即可找到，在這里不做展示了)

2、文件路徑表示除了正常的方式之外，還可以用DOS8.3文件路徑表示法，當文件名的長度超過8個字符時，就可以用DOS8.3路徑表示。

我相信未來還會不斷有新的防篡改技術誕生，但大家應該能夠發(fā)現(xiàn)，一味的從防御角度出發(fā)解決網頁篡改問題猶如“管中窺豹”，黑客永運可以通過嘗試，發(fā)現(xiàn)技術缺陷，而防御技術的更新永遠落后于攻擊。

防篡改“魔力三角”

中醫(yī)有句俗話是“治病先看病”，在網絡安全中同樣適用。網頁發(fā)生篡改就像感冒發(fā)燒，癥狀是發(fā)燒，但根本問題卻是身體內部出現(xiàn)了問題。而篡改則是網站存在風險。而發(fā)現(xiàn)風險則是從根本上解決網頁篡改問題的第一步。

而漏洞則是最為常見的風險。很多客戶都說部署了漏掃產品，但漏洞掃描類似于醫(yī)生的“望、聞、問、切”，醫(yī)生會觀察身體的各類反應，從而進行準確的診斷。漏洞掃描也要覆蓋網站或業(yè)務系統(tǒng)的各個部分，其中要包括系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據庫漏洞，這樣才能不存在短板。

第二個風險是弱口令，誰也不想黑客通過口令簡簡單單的控制了網站甚至是服務器，那么再多的防護設備也無計可施。

發(fā)現(xiàn)了病癥所在，就要“對癥下藥”進行風險控制。做完風險控制后才是防御。防御也應該分為兩個部分，以Kill Chain模型來看，防篡改僅僅是針對攻擊最后一步的防御，而完成一次攻擊還需要很多環(huán)節(jié)，在這些環(huán)節(jié)之中，同樣需要檢測及防御設備，這也就是國內普遍應用的縱深防御理念。

任何事物都有兩面性，同樣也沒有絕對的安全。

無論是風險控制還是縱深防御，其本質都是在增加黑客的攻擊成本。但安全還有一種思路，叫做態(tài)勢感知。即使黑客通過各種手段突破了層層防護，我們還可以做的是第一時間發(fā)現(xiàn)攻擊，比如有組織黑客常用的Webshell，即俗稱的網站后門。黑客組織往往前期在網站中植入了Webshell，然后伺機而動。對于解決防篡改，Webshell的檢測尤為重要。再進一步，如果繞過了防篡改系統(tǒng)，發(fā)生了篡改，仍然要有外部的發(fā)現(xiàn)機制，從而第一時間進行手工恢復，甚至是自動關閉，事后再進行溯源，防止再次發(fā)生。

從上可以總結出新型的安全方法論應該是：以風險控制為先，多角度檢查風險情況，降低系統(tǒng)遭受攻擊的可能性。然后基于Kill Chain模型，在攻擊過程中采用縱深防御理念進行安全防護。最后，要具備態(tài)勢感知能力，在攻擊發(fā)生后第一時間響應并處置。

盛邦安全基于對Web領域多年的積累，以及新型安全方法論，提出了防篡改“魔力三角”方案。

通過烽火臺-網站監(jiān)控預警系統(tǒng)(RAYSaaS)對網站進行事前的風險檢測，發(fā)現(xiàn)網站的系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據庫漏洞，同時可檢測網站所存在弱口令問題;7*24小時的實時監(jiān)測，能夠及時發(fā)現(xiàn)Webshell，并確保發(fā)生篡改攻擊后能夠第一時間發(fā)現(xiàn)并告警。

通過銳御-Web應用防火墻(RAYWAF)對網站進行安全防護，阻斷黑客對目標的探測、工具的傳輸、漏洞的利用、控制等攻擊過程。同時集成了威脅情報能力，大幅提升對于高級攻擊的檢測發(fā)現(xiàn)能力。

通過銳鎖-網頁防篡改系統(tǒng)(RAYLOCK)的文件過濾驅動技術+事件觸發(fā)技術，來加強對于篡改攻擊的阻斷及事后恢復。

網絡安全永遠是人與人的較量，盛邦安全愿與各位在安全的道路上共同前行。

當前文章：烽火18臺系列之九——防篡改“魔力三角”
URL分享：http://www.5511xx.com/article/cddggpi.html