今天借著烽火臺系列寫一篇關(guān)于網(wǎng)頁防篡改的文章，因為小編平日里與客戶交流發(fā)現(xiàn)，目前網(wǎng)頁的篡改問題仍然是客戶最為頭疼的網(wǎng)絡(luò)安全問題之一。而提到“防篡改”，大多數(shù)人第一時間想到的是“防篡改系統(tǒng)”。而小編要說的是：

“防篡改系統(tǒng)”≠“防篡改”  防篡改系統(tǒng)的前世今生

防篡改系統(tǒng)發(fā)展至今共經(jīng)歷了四代技術(shù)(每代技術(shù)各家叫法不同，但原理基本相同)，而這四代技術(shù)在不同的年代都解決了一定的問題，但同時也因為暴露的缺陷而不斷更迭。

第一代技術(shù)：時間輪詢技術(shù)

這是早期使用的技術(shù)，顧名思義，其是采用定時循環(huán)掃描，且每次掃描均從頭到尾進(jìn)行。

該機制有兩大問題：

1、現(xiàn)在的網(wǎng)站少則幾千個文件，大則幾萬，幾十萬個文件，輪詢機制不僅需要耗費大量的時間，還會大大影響服務(wù)器性能。

2、因為存在掃描的間隙，所以會存在 “盲區(qū)”，這段時間內(nèi)外部的訪問均是被篡改的頁面，“盲區(qū)”的時長由網(wǎng)站文件數(shù)量、磁盤性能、CPU性能等眾多客觀因素來決定。

第二代技術(shù)：事件觸發(fā)技術(shù)

該技術(shù)以穩(wěn)定、可靠、占用資源極少著稱，其原理是利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件的被修改時進(jìn)行合法性檢查，對于非法操作進(jìn)行報警和恢復(fù)。

可以看出，該技術(shù)是典型的“后發(fā)制人”，即非法篡改已經(jīng)發(fā)生后才可進(jìn)行恢復(fù)，其存在兩大問題：

1、如果采取“連續(xù)篡改”的攻擊方式，由于是篡改后程序才進(jìn)行檢查和恢復(fù)，則同樣會存在一個系統(tǒng)延遲的時間間隔，而連續(xù)篡改往往利用自動化腳本每秒上千次篡改，這會導(dǎo)致大眾訪問的一直是篡改后網(wǎng)站。

2、目錄監(jiān)控的安全性受制于防篡改監(jiān)控進(jìn)程的安全性，如果監(jiān)控進(jìn)程被強行終止，則防篡改功能就立刻消失，網(wǎng)站目錄就又面臨被篡改的危險。

第三代技術(shù)：核心內(nèi)嵌技術(shù)

核心內(nèi)嵌技術(shù)即數(shù)字水印技術(shù)，最初先將網(wǎng)頁內(nèi)容采取非對稱加密存放，在外來訪問請求時將經(jīng)過加密驗證過的，進(jìn)行解密對外發(fā)布，若未經(jīng)過驗證，則拒絕對外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗證解密后對外發(fā)布。

這樣即使黑客成功對內(nèi)容進(jìn)行了修改，也不能對外發(fā)布。表面看上去，這種技術(shù)非常完善，但沒有100%的安全，此類方式同樣存在問題：

1、市面上“數(shù)字水印”的密碼學(xué)算法，無一例外地使用 MD5散列算法，該散列算法在2004年被我國密碼學(xué)家山東大學(xué)的王小云教授攻破，使得偽造出具有相同數(shù)字水印而內(nèi)容截然不同的文件立刻成為了現(xiàn)實。目前，包括MD5在內(nèi)多種密碼學(xué)算法在網(wǎng)絡(luò)中基本成為“公開的秘密”。當(dāng)“數(shù)字水印”技術(shù)使用一個已被攻破的脆弱算法時，其安全性也就轟然倒塌了。

2、“數(shù)字水印”技術(shù)在計算大于100KB大小的文件“指紋”時，其速度將隨著文件的增大而逐步下降到讓人無法忍受的地步，因此大多數(shù)產(chǎn)品都會默認(rèn)設(shè)置一個超過xxx KB的文件不進(jìn)行數(shù)字水印檢查規(guī)則。關(guān)于這項安全隱患，讀者可以隨便找個10MB以上的文件放入網(wǎng)站目錄中，然后再訪問該文件，如果發(fā)現(xiàn)文件可以訪問或者下載，即可證明當(dāng)前使用的防篡改產(chǎn)品存在該安全隱患。

3、數(shù)字水印屬于模塊化功能，需插入web服務(wù)軟件中，這種缺陷導(dǎo)致一旦計算水印散列模塊被卸載，防篡改能力隨即消失。

第四代技術(shù)：文件過濾驅(qū)動技術(shù)

文件過濾驅(qū)動技術(shù)是目前主流防篡改廠商所采用的技術(shù)，通常與事件觸發(fā)技術(shù)配合使用。其原理是采用操作系統(tǒng)底層文件過濾驅(qū)動技術(shù)，攔截與分析IRP流，對所有受保護(hù)的網(wǎng)站目錄的寫操作都立即截斷，且整個文件復(fù)制過程為毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達(dá)到很高的水準(zhǔn)。

這種方式的確大大增大了黑客篡改的難度，但仍然做不到100%安全，隨手在互聯(lián)網(wǎng)上搜索，就會發(fā)現(xiàn)其仍然有很多缺陷:

1、基于實際應(yīng)用中各種復(fù)雜環(huán)境與因素的考慮，操作系統(tǒng)的設(shè)計者在系統(tǒng)內(nèi)核底層設(shè)計了多種可以讀寫文件的方式，相關(guān)數(shù)據(jù)流不單單是走文件過濾驅(qū)動這一條線。網(wǎng)絡(luò)上大家常用的各種“文件粉碎機”強制刪除頑固文件就是基于相關(guān)原理的。(繞過代碼網(wǎng)上即可找到，在這里不做展示了)

2、文件路徑表示除了正常的方式之外，還可以用DOS8.3文件路徑表示法，當(dāng)文件名的長度超過8個字符時，就可以用DOS8.3路徑表示。

我相信未來還會不斷有新的防篡改技術(shù)誕生，但大家應(yīng)該能夠發(fā)現(xiàn)，一味的從防御角度出發(fā)解決網(wǎng)頁篡改問題猶如“管中窺豹”，黑客永運可以通過嘗試，發(fā)現(xiàn)技術(shù)缺陷，而防御技術(shù)的更新永遠(yuǎn)落后于攻擊。

防篡改“魔力三角”

中醫(yī)有句俗話是“治病先看病”，在網(wǎng)絡(luò)安全中同樣適用。網(wǎng)頁發(fā)生篡改就像感冒發(fā)燒，癥狀是發(fā)燒，但根本問題卻是身體內(nèi)部出現(xiàn)了問題。而篡改則是網(wǎng)站存在風(fēng)險。而發(fā)現(xiàn)風(fēng)險則是從根本上解決網(wǎng)頁篡改問題的第一步。

而漏洞則是最為常見的風(fēng)險。很多客戶都說部署了漏掃產(chǎn)品，但漏洞掃描類似于醫(yī)生的“望、聞、問、切”，醫(yī)生會觀察身體的各類反應(yīng)，從而進(jìn)行準(zhǔn)確的診斷。漏洞掃描也要覆蓋網(wǎng)站或業(yè)務(wù)系統(tǒng)的各個部分，其中要包括系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據(jù)庫漏洞，這樣才能不存在短板。

第二個風(fēng)險是弱口令，誰也不想黑客通過口令簡簡單單的控制了網(wǎng)站甚至是服務(wù)器，那么再多的防護(hù)設(shè)備也無計可施。

發(fā)現(xiàn)了病癥所在，就要“對癥下藥”進(jìn)行風(fēng)險控制。做完風(fēng)險控制后才是防御。防御也應(yīng)該分為兩個部分，以Kill Chain模型來看，防篡改僅僅是針對攻擊最后一步的防御，而完成一次攻擊還需要很多環(huán)節(jié)，在這些環(huán)節(jié)之中，同樣需要檢測及防御設(shè)備，這也就是國內(nèi)普遍應(yīng)用的縱深防御理念。

任何事物都有兩面性，同樣也沒有絕對的安全。

無論是風(fēng)險控制還是縱深防御，其本質(zhì)都是在增加黑客的攻擊成本。但安全還有一種思路，叫做態(tài)勢感知。即使黑客通過各種手段突破了層層防護(hù)，我們還可以做的是第一時間發(fā)現(xiàn)攻擊，比如有組織黑客常用的Webshell，即俗稱的網(wǎng)站后門。黑客組織往往前期在網(wǎng)站中植入了Webshell，然后伺機而動。對于解決防篡改，Webshell的檢測尤為重要。再進(jìn)一步，如果繞過了防篡改系統(tǒng)，發(fā)生了篡改，仍然要有外部的發(fā)現(xiàn)機制，從而第一時間進(jìn)行手工恢復(fù)，甚至是自動關(guān)閉，事后再進(jìn)行溯源，防止再次發(fā)生。

從上可以總結(jié)出新型的安全方法論應(yīng)該是：以風(fēng)險控制為先，多角度檢查風(fēng)險情況，降低系統(tǒng)遭受攻擊的可能性。然后基于Kill Chain模型，在攻擊過程中采用縱深防御理念進(jìn)行安全防護(hù)。最后，要具備態(tài)勢感知能力，在攻擊發(fā)生后第一時間響應(yīng)并處置。

盛邦安全基于對Web領(lǐng)域多年的積累，以及新型安全方法論，提出了防篡改“魔力三角”方案。

通過烽火臺-網(wǎng)站監(jiān)控預(yù)警系統(tǒng)(RAYSaaS)對網(wǎng)站進(jìn)行事前的風(fēng)險檢測，發(fā)現(xiàn)網(wǎng)站的系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據(jù)庫漏洞，同時可檢測網(wǎng)站所存在弱口令問題;7*24小時的實時監(jiān)測，能夠及時發(fā)現(xiàn)Webshell，并確保發(fā)生篡改攻擊后能夠第一時間發(fā)現(xiàn)并告警。

通過銳御-Web應(yīng)用防火墻(RAYWAF)對網(wǎng)站進(jìn)行安全防護(hù)，阻斷黑客對目標(biāo)的探測、工具的傳輸、漏洞的利用、控制等攻擊過程。同時集成了威脅情報能力，大幅提升對于高級攻擊的檢測發(fā)現(xiàn)能力。

通過銳鎖-網(wǎng)頁防篡改系統(tǒng)(RAYLOCK)的文件過濾驅(qū)動技術(shù)+事件觸發(fā)技術(shù)，來加強對于篡改攻擊的阻斷及事后恢復(fù)。

網(wǎng)絡(luò)安全永遠(yuǎn)是人與人的較量，盛邦安全愿與各位在安全的道路上共同前行。