今天借著烽火臺系列寫一篇關(guān)于網(wǎng)頁防篡改的文章，因為平日里與客戶交流發(fā)現(xiàn)，目前網(wǎng)頁的篡改問題仍然是客戶比較頭疼的網(wǎng)絡安全問題之一。而提到“防篡改”，大多數(shù)人首先想到的是“防篡改系統(tǒng)”。但是，“防篡改系統(tǒng)”≠“防篡改”。

防篡改系統(tǒng)的前世今生

防篡改系統(tǒng)發(fā)展至今共經(jīng)歷了四代技術(shù)（每代技術(shù)各家叫法不同，但原理基本相同），而這四代技術(shù)在不同的年代都解決了一定的問題，但同時也因為暴露的缺陷而不斷更迭。

第一代技術(shù)：時間輪詢技術(shù)

這是早期使用的技術(shù)，顧名思義，其是采用定時循環(huán)掃描，且每次掃描均從頭到尾進行。

該機制有兩大問題：

1、現(xiàn)在的網(wǎng)站少則幾千個文件，大則幾萬，幾十萬個文件，輪詢機制不僅需要耗費大量的時間，還會大大影響服務器性能。

2、因為存在掃描的間隙，所以會存在“盲區(qū)”，這段時間內(nèi)外部的訪問均是被篡改的頁面，“盲區(qū)”的時長由網(wǎng)站文件數(shù)量、磁盤性能、CPU性能等眾多客觀因素來決定。

第二代技術(shù)：事件觸發(fā)技術(shù)

該技術(shù)以穩(wěn)定、可靠、占用資源少著稱，其原理是利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

可以看出，該技術(shù)是典型的“后發(fā)制人”，即非法篡改已經(jīng)發(fā)生后才可進行恢復，其存在兩大問題：

1、如果采取“連續(xù)篡改”的攻擊方式，由于是篡改后程序才進行檢查和恢復，則同樣會存在一個系統(tǒng)延遲的時間間隔，而連續(xù)篡改往往利用自動化腳本每秒上千次篡改，這會導致大眾訪問的一直是篡改后網(wǎng)站。

2、目錄監(jiān)控的安全性受制于防篡改監(jiān)控進程的安全性，如果監(jiān)控進程被強行終止，則防篡改功能就立刻消失，網(wǎng)站目錄就又面臨被篡改的危險。

第三代技術(shù)：核心內(nèi)嵌技術(shù)

核心內(nèi)嵌技術(shù)即數(shù)字水印技術(shù)，先將網(wǎng)頁內(nèi)容采取非對稱加密存放，在外來訪問請求時將經(jīng)過加密驗證過的，進行解密對外發(fā)布，若未經(jīng)過驗證，則拒絕對外發(fā)布，調(diào)用備份網(wǎng)站文件進行驗證解密后對外發(fā)布。

這樣即使黑客成功對內(nèi)容進行了修改，也不能對外發(fā)布。表面看上去，這種技術(shù)非常完善，但沒有100%的安全，此類方式同樣存在問題：

1、市面上“數(shù)字水印”的密碼學算法，無一例外地使用 MD5散列算法，該散列算法在2004年被我國密碼學家山東大學的王小云教授攻破，使得偽造出具有相同數(shù)字水印而內(nèi)容截然不同的文件立刻成為了現(xiàn)實。目前，包括MD5在內(nèi)多種密碼學算法在網(wǎng)絡中基本成為“公開的秘密”。當“數(shù)字水印”技術(shù)使用一個已被攻破的脆弱算法時，其安全性也就轟然倒塌了。

2、“數(shù)字水印”技術(shù)在計算大于100KB大小的文件“指紋”時，其速度將隨著文件的增大而逐步下降到讓人無法忍受的地步，因此大多數(shù)產(chǎn)品都會默認設置一個超過xxx KB的文件不進行數(shù)字水印檢查規(guī)則。關(guān)于這項安全隱患，讀者可以隨便找個10MB以上的文件放入網(wǎng)站目錄中，然后再訪問該文件，如果發(fā)現(xiàn)文件可以訪問或者下載，即可證明當前使用的防篡改產(chǎn)品存在該安全隱患。

3、數(shù)字水印屬于模塊化功能，需插入web服務軟件中，這種缺陷導致一旦計算水印散列模塊被卸載，防篡改能力隨即消失。

第四代技術(shù)：文件過濾驅(qū)動技術(shù)

文件過濾驅(qū)動技術(shù)是目前主流防篡改廠商所采用的技術(shù)，通常與事件觸發(fā)技術(shù)配合使用。其原理是采用操作系統(tǒng)底層文件過濾驅(qū)動技術(shù)，攔截與分析IRP流，對所有受保護的網(wǎng)站目錄的寫操作都立即截斷，且整個文件復制過程為毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到很高的水準。

這種方式的確大大增大了黑客篡改的難度，但仍然做不到100%安全，隨手在互聯(lián)網(wǎng)上搜索，就會發(fā)現(xiàn)其仍然有很多缺陷:

1、基于實際應用中各種復雜環(huán)境與因素的考慮，操作系統(tǒng)的設計者在系統(tǒng)內(nèi)核底層設計了多種可以讀寫文件的方式，相關(guān)數(shù)據(jù)流不單單是走文件過濾驅(qū)動這一條線。網(wǎng)絡上大家常用的各種“文件粉碎機”強制刪除頑固文件就是基于相關(guān)原理的。（繞過代碼網(wǎng)上即可找到，在這里不做展示了）

2、文件路徑表示除了正常的方式之外，還可以用DOS8.3文件路徑表示法，當文件名的長度超過8個字符時，就可以用DOS8.3路徑表示。

我相信未來還會不斷有新的防篡改技術(shù)誕生，但大家應該能夠發(fā)現(xiàn)，一味的從防御角度出發(fā)解決網(wǎng)頁篡改問題猶如“管中窺豹”，黑客永運可以通過嘗試，發(fā)現(xiàn)技術(shù)缺陷，而防御技術(shù)的更新永遠落后于攻擊。

防篡改“魔力三角”

中醫(yī)有句俗話是“治病先看病”，在網(wǎng)絡安全中同樣適用。網(wǎng)頁發(fā)生篡改就像感冒發(fā)燒，癥狀是發(fā)燒，但根本問題卻是身體內(nèi)部出現(xiàn)了問題。而篡改則是網(wǎng)站存在風險。而發(fā)現(xiàn)風險則是從根本上解決網(wǎng)頁篡改問題的第一步。

而漏洞則是較為常見的風險。很多客戶都說部署了漏掃產(chǎn)品，但漏洞掃描類似于醫(yī)生的“望、聞、問、切”，醫(yī)生會觀察身體的各類反應，從而進行準確的診斷。漏洞掃描也要覆蓋網(wǎng)站或業(yè)務系統(tǒng)的各個部分，其中要包括系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據(jù)庫漏洞，這樣才能不存在短板。

第二個風險是弱口令，誰也不想黑客通過口令簡簡單單的控制了網(wǎng)站甚至是服務器，那么再多的防護設備也無計可施。

發(fā)現(xiàn)了病癥所在，就要“對癥下藥”進行風險控制。做完風險控制后才是防御。防御也應該分為兩個部分，以Kill Chain模型來看，防篡改僅僅是針對攻擊最后一步的防御，而完成一次攻擊還需要很多環(huán)節(jié)，在這些環(huán)節(jié)之中，同樣需要檢測及防御設備，這也就是國內(nèi)普遍應用的縱深防御理念。

任何事物都有兩面性，同樣也沒有絕對的安全。

無論是風險控制還是縱深防御，其本質(zhì)都是在增加黑客的攻擊成本。但安全還有一種思路，叫做態(tài)勢感知。即使黑客通過各種手段突破了層層防護，我們還可以做的是及時發(fā)現(xiàn)攻擊，比如有組織黑客常用的Webshell，即俗稱的網(wǎng)站后門。黑客組織往往前期在網(wǎng)站中植入了Webshell，然后伺機而動。對于解決防篡改，Webshell的檢測尤為重要。再進一步，如果繞過了防篡改系統(tǒng)，發(fā)生了篡改，仍然要有外部的發(fā)現(xiàn)機制，從而及時進行手工恢復，甚至是自動關(guān)閉，事后再進行溯源，防止再次發(fā)生。

從上可以總結(jié)出新型的安全方法論應該是：以風險控制為先，多角度檢查風險情況，降低系統(tǒng)遭受攻擊的可能性。然后基于Kill Chain模型，在攻擊過程中采用縱深防御理念進行安全防護。最后，要具備態(tài)勢感知能力，在攻擊發(fā)生后及時響應并處置。

盛邦安全基于對Web領(lǐng)域多年的積累，以及新型安全方法論，提出了防篡改“魔力三角”方案。

通過烽火臺-網(wǎng)站監(jiān)控預警系統(tǒng)（RAYSaaS）對網(wǎng)站進行事前的風險檢測，發(fā)現(xiàn)網(wǎng)站的系統(tǒng)漏洞、Web漏洞、中間件及數(shù)據(jù)庫漏洞，同時可檢測網(wǎng)站所存在弱口令問題；7*24小時的實時監(jiān)測，能夠及時發(fā)現(xiàn)Webshell，并確保發(fā)生篡改攻擊后能夠及時發(fā)現(xiàn)并告警。

通過銳御-Web應用防火墻（RAYWAF）對網(wǎng)站進行安全防護，阻斷黑客對目標的探測、工具的傳輸、漏洞的利用、控制等攻擊過程。同時集成了威脅情報能力，大幅提升對于高級攻擊的檢測發(fā)現(xiàn)能力。

通過銳鎖-網(wǎng)頁防篡改系統(tǒng)（RAYLOCK）的文件過濾驅(qū)動技術(shù)+事件觸發(fā)技術(shù)，來加強對于篡改攻擊的阻斷及事后恢復。

網(wǎng)絡安全永遠是人與人的較量，盛邦安全愿與各位在安全的道路上共同前行。