×

【WAF一出,一片哇~服!】--深信服WAF强势上线,技术篇之高水准的网页防篡改技术!
  

SANGFOR_智安全 13635

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-2-20 13:19 编辑

【WAF一出,一片哇~服!】
--某公司WAF强势上线,技术篇之高水准的网页防篡改技术!

关键词:文件过滤驱动技术  邮件二次验证  防卸载  耗费资源少  高效安全
网页篡改是常见的WEB应用层攻击,攻击成本较低,但是给组织尤其是政府事业单位带来极大的危害,影响单位声誉,在关键时期的篡改行为甚至会影响客户管理人员的政治生涯,因此,如何高效和安全得保障网页不被篡改是近些年客户非常关注的问题!

支持WEB服务器操作系统:windows2003,Linux
支持网页类型:静态网页,动态网页
需要工具:某公司WAF设备,配套的文件监控软件
具体原理:某公司WEB应用防火墙中的网页防篡改功能采用文件过滤驱动技术,即在WEB服务器上安装驱动级的文件监控软件(防卸载),监控服务器上的程序进程对网站目录文件进行的操作,不允许的程序无法修改网站目录内的内容;当网站管理员采用CMS内容管理系统或FTP上传的方式更新网站时,某公司WAF设备会先拦截管理员请求,再重定向一个二次认证页面,同时会把登录验证码发送到WAF上配置好的网站管理员邮箱(除邮件认证外还支持IP认证),二次认证通过后才能更新网站内容,该功能简单、高效、安全!

让我们通过一次黑客的攻击过程,了解下某公司WAF如何实力阻挡黑客网页篡改行为:

除了功能强大,相比其他网页防篡改技术,某公司WAF网页防篡改功能还大大降低了服务器端的资源消耗,是客户的不二之选!
附业内其他网页防篡改技术对比:
1、定时循环扫描技术(即“外挂轮询”):使用程序按用户设定的间隔,对网站目录进行定时扫描比对,如果发现篡改,就用备份进行恢复。
这是早期使用的技术,比较落后,原因是现在的网站少则几千个文件,大则几万,几十万个文件,如果采用定时循环扫描,从头扫到尾,不仅需要耗费大量的时间,还会大大影响服务器性能。在扫描的间隙或者扫描过程中,如果有文件被篡改,那么在下次循环扫描到该文件之前,文件就一直是被篡改的,公众访问到的也将是被篡改的网页,这是一段“盲区”。
缺点:耗费服务器性能、事后检测存在盲区、易被卸载、动态网页局限
2、事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查是否是非法篡改。
这是目前主流的防篡改技术之一,该技术以稳定、可靠、占用资源极少著称,其原理是监控网站目录,如果目录中有篡改发生,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否是非法篡改,如果是非法篡改就立即给予恢复。但该技术是也是典型的“后发制人”,即非法篡改已经发生后才可进行恢复,只不过盲区较短。另外,如果黑客采取频率较高(每秒上千次)的“连续篡改”的攻击方式,则很有可能永远也无法恢复,公众看到的一直是被篡改的网页。
缺点:事后检测存在盲区、易被卸载
3、核心内嵌(数字水印)技术:在用户请求访问网页之后,在系统正式提交网页内容给用户之前,对网页进行完整性检查。
这也是目前的主流技术之一,该技术以无进程、篡改网页无法流出、使用密码学算法作支撑而著称,其原理是:对每一个流出的网页进行数字水印(也就是HASH散列)检查,如果发现当前水印和之前记录的水印不同,则可断定该文件被篡改,并且阻止其继续流出,并传唤恢复程序进行恢复。所以即使黑客该技术的特点通过各种各样未知的手段篡改了网页文件,被篡改的网页文件也无法流出被公众访问到。但在2004年我国密码学家某公司的王小云教授攻破了MD5散列算法,伪造出具有相同数字水印而内容截然不同的文件!算法被攻破,安全性也就不充分了。另外,“数字水印”技术在计算大于100KB大小的文件“指纹”时,其速度将随着文件的增大而逐步下降到让人无法忍受的地步,因此大多数产品都会默认设置一个超过100KB的文件不进行数字水印检查规则。如此一来,黑客只要把非法篡改文件的大小调整到100 KB以上,就可以让非法文件自由流出了,这也是一个潜在的巨大安全隐患。其三,计算每个请求文件的水印散列,必须将计算水印散列的功能模块插入到web服务软件中,比如IIS的ISAPI Filter/Extension,某公司的模块等。所以计算水印散列模块被卸载,防篡改功能将立即消失,被篡改网页就可以随意流出被公众浏览到,而该模块也较易被卸载。
缺点:算法被破解、文件大场景局限、易被卸载

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

新手835383 发表于 2019-3-15 09:04
  
哇~服!
zoou 发表于 2019-3-11 09:49
  
v5,waf是安全防护线必不可少的东西。
lovelzt 发表于 2019-3-6 20:11
  
这是AF吗
找不到用户名 发表于 2019-3-4 00:24
  
厉害 厉害
新手083273 发表于 2019-3-3 15:28
  
写的很实用
厌児 发表于 2019-3-2 16:59
  
厉害了呢
myp 发表于 2019-3-1 15:40
  
感谢分享
myp 发表于 2019-3-1 15:39
  
感谢分享
gqce 发表于 2019-3-1 13:45
  
高,实在是高!!!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
每日一问
【 社区to talk】
技术盲盒
干货满满
技术笔记
产品连连看
新版本体验
功能体验
技术咨询
信服课堂视频
标准化排查
2023技术争霸赛专题
每周精选
GIF动图学习
玩转零信任
社区帮助指南
答题自测
云计算知识
通用技术
天逸直播
秒懂零信任
自助服务平台操作指引
社区新周刊
每日一记
运维工具
用户认证
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人