本帖最后由 某公司_智安全 于 2019-2-20 13:19 编辑
【WAF一出,一片哇~服!】 --某公司WAF强势上线,技术篇之高水准的网页防篡改技术!
关键词:文件过滤驱动技术 邮件二次验证 防卸载 耗费资源少 高效安全 网页篡改是常见的WEB应用层攻击,攻击成本较低,但是给组织尤其是政府事业单位带来极大的危害,影响单位声誉,在关键时期的篡改行为甚至会影响客户管理人员的政治生涯,因此,如何高效和安全得保障网页不被篡改是近些年客户非常关注的问题!
支持WEB服务器操作系统:windows2003,Linux 支持网页类型:静态网页,动态网页 需要工具:某公司WAF设备,配套的文件监控软件 具体原理:某公司WEB应用防火墙中的网页防篡改功能采用文件过滤驱动技术,即在WEB服务器上安装驱动级的文件监控软件(防卸载),监控服务器上的程序进程对网站目录文件进行的操作,不允许的程序无法修改网站目录内的内容;当网站管理员采用CMS内容管理系统或FTP上传的方式更新网站时,某公司WAF设备会先拦截管理员请求,再重定向一个二次认证页面,同时会把登录验证码发送到WAF上配置好的网站管理员邮箱(除邮件认证外还支持IP认证),二次认证通过后才能更新网站内容,该功能简单、高效、安全!
让我们通过一次黑客的攻击过程,了解下某公司WAF如何实力阻挡黑客网页篡改行为:
除了功能强大,相比其他网页防篡改技术,某公司WAF网页防篡改功能还大大降低了服务器端的资源消耗,是客户的不二之选! 附业内其他网页防篡改技术对比: 1、定时循环扫描技术(即“外挂轮询”):使用程序按用户设定的间隔,对网站目录进行定时扫描比对,如果发现篡改,就用备份进行恢复。 这是早期使用的技术,比较落后,原因是现在的网站少则几千个文件,大则几万,几十万个文件,如果采用定时循环扫描,从头扫到尾,不仅需要耗费大量的时间,还会大大影响服务器性能。在扫描的间隙或者扫描过程中,如果有文件被篡改,那么在下次循环扫描到该文件之前,文件就一直是被篡改的,公众访问到的也将是被篡改的网页,这是一段“盲区”。 缺点:耗费服务器性能、事后检测存在盲区、易被卸载、动态网页局限 2、事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查是否是非法篡改。 这是目前主流的防篡改技术之一,该技术以稳定、可靠、占用资源极少著称,其原理是监控网站目录,如果目录中有篡改发生,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否是非法篡改,如果是非法篡改就立即给予恢复。但该技术是也是典型的“后发制人”,即非法篡改已经发生后才可进行恢复,只不过盲区较短。另外,如果黑客采取频率较高(每秒上千次)的“连续篡改”的攻击方式,则很有可能永远也无法恢复,公众看到的一直是被篡改的网页。 缺点:事后检测存在盲区、易被卸载 3、核心内嵌(数字水印)技术:在用户请求访问网页之后,在系统正式提交网页内容给用户之前,对网页进行完整性检查。 这也是目前的主流技术之一,该技术以无进程、篡改网页无法流出、使用密码学算法作支撑而著称,其原理是:对每一个流出的网页进行数字水印(也就是HASH散列)检查,如果发现当前水印和之前记录的水印不同,则可断定该文件被篡改,并且阻止其继续流出,并传唤恢复程序进行恢复。所以即使黑客该技术的特点通过各种各样未知的手段篡改了网页文件,被篡改的网页文件也无法流出被公众访问到。但在2004年我国密码学家某公司的王小云教授攻破了MD5散列算法,伪造出具有相同数字水印而内容截然不同的文件!算法被攻破,安全性也就不充分了。另外,“数字水印”技术在计算大于100KB大小的文件“指纹”时,其速度将随着文件的增大而逐步下降到让人无法忍受的地步,因此大多数产品都会默认设置一个超过100KB的文件不进行数字水印检查规则。如此一来,黑客只要把非法篡改文件的大小调整到100 KB以上,就可以让非法文件自由流出了,这也是一个潜在的巨大安全隐患。其三,计算每个请求文件的水印散列,必须将计算水印散列的功能模块插入到web服务软件中,比如IIS的ISAPI Filter/Extension,某公司的模块等。所以计算水印散列模块被卸载,防篡改功能将立即消失,被篡改网页就可以随意流出被公众浏览到,而该模块也较易被卸载。 缺点:算法被破解、文件大场景局限、易被卸载 |