02

网页防篡改技术

1、时间轮询技术

时间轮询技术(也可称为"外挂轮询技术”)。该技术作为一种自动化的技术形式出现，从而摆脱了以人力检测恢复为主体的原始手段。

时间轮询技术是利用一个两页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

但是，采用时间轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。

●  随着网站的规模化发展，网站页面数量成倍提升，每次扫描需要耗费较长时间，并大量消耗服务器的CPU和硬盘I/O资源，影响服务器性能。

●  由于轮询扫描存在时间间隔，篡改检测的实时性无法得到保障，黑客仍然有机会篡改网页并使网页访问者浏览到被篡改的网页。

时间轮询技术由于效率低、资源消耗高，在实际应用中具有较大的局限性，目前已基本被淘汰。

事件触发技术的基本原理是利用操作系统的文件系统或驱动程序接口监听网站目录下的文件修改，在网页文件被修改时进行合法性检查，对于非法操作进行告警和恢复。

相较于时间轮询技术，事件触发技术基于事件触发的篡改检测机制不仅能够使被篡改的网页在短时间内被发现和恢复，进而减小篡改网页流出带来的风险，而且几乎不消耗系统资源，不会对服务器性能造成影响。

然而，单独依靠事件触发技术往往难以实现对网页篡改的有效防护，主要原因如下：

●  事件触发技术的篡改检测机制建立在“攻击者不可能绕过操作系统的文件系统或驱动程序接口对网页文件进行修改”的假设上，在对篡改行为的捕获上完全依赖于已知的文件系统或驱动程序接口。然而“敌暗我明”，攻击者往往不会从正面进攻，而是选择通过其他不易被发现的方式（例如直接写磁盘）进行篡改攻击，因此目前的检测机制存在被绕过的风险。此外，被篡改的网页一旦成功绕过检测，后续就再也没有机会对其进行检查和恢复。

●  在对疑似受到篡改的网页文件的合法性检查上，事件触发技术通常将文件大小、修改时间、格式等文件属性作为判断是否被篡改的标准，而不对文件内容的完整性进行校验，因此无法确保网页文件内容未被篡改，可能出现误判、漏判的情况。

●  由于事件触发技术本质上仍是在非法网页篡改发生之后才进行检测恢复，当攻击者发起连续的篡改攻击，检测恢复速度无法追赶上篡改发生的速度，会使用户持续访问到被篡改的网页。

因此，在实际应用中，事件触发技术通常作为篡改检测的触发机制，和其他网页防篡改技术结合使用。

3、核心内嵌技术

所谓核心内嵌技术即密码水印技术。该技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比，如大小，页面生成时间等做判断，无法更准确地进行其他属性的判断。

核心内嵌技术避免了时间轮巡技术的轮巡间隔这个缺点。但是由于这种技术是对每个流出网页都进行完整检查，占用巨大的系统资源，给服务器造成较大负载。且对网页正常发布流程作了更改，整个网站需要重新架构，增加新的发布服务器替代原先的服务器。

核心内嵌技术的优势主要包括：

●  对每一个流出的网页做完整性校验，被篡改网页无法绕过检测机制，基本可以避免被篡改网页被用户访问到，确保了网页防篡改的有效性。

●  以密码学为理论基础，提高了网络传输可靠性，并支持对动态网页的防护。

●  将篡改检测模块与Web服务进程融合，处理效率高，稳定性强。由于不存在独立的模块运行进程，黑客无法中止检测模块的运行。

核心内嵌技术的局限性则主要在于数字水印的计算和比对过程需要消耗服务器的CPU和内存资源，在网站访问量大的情况下，可能会给服务器造成一定压力，影响网页响应时间。此外，该技术也无法实现在篡改发生时进行实时响应，若被篡改网页持续未被访问，则网站管理者无法察觉到篡改攻击的发生。

4、文件过滤驱动技术

文件过滤驱动技术的原理是:将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行检测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。

该技术的主要优势包括：

●  通过对IRP（I/O request packets，输入输出请求包）流的拦截与分析，可以实现对动态页面的监控。

●  基于底层文件驱动技术，对网页文件的监测和恢复过程可以达到毫秒级。

●  资源代价小，占用服务器系统资源极少，不会对服务器性能造成影响。

综合来说，文件过滤驱动技术在准确性、检测实时性、资源占用率等方面都明显优于前几种技术，是一种高效而安全的网页防篡改技术。

然而该技术也并非毫无破绽。操作系统内核底层往往存在多种可以读写文件的方式，文件过滤驱动存在被绕过的可能。此外，由于该技术不具备已篡改网页的检测和恢复能力，作为单一的技术手段部署时依然具有风险。

03

网页被篡改的方式

一、SQL注入

攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询。

二、XSS攻击

跨站脚本攻击可以在合法的地方引入非法的HTML或者JS代码。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

三、控制Web服务器

攻击者可能通过服务器或者第三方的漏洞，获取服务器权限、数据库管理权限，进而修改页面。

四、检测和防护SQL注入攻击。

通过过滤SQL危险字符如：“’、select、where、insert、,、;”等等将其进行无害化编码或者转码，从源头遏止；对提交到web服务器的数据报进行过滤检测是否含有“eval、wscript.shell、iframe”等等。

04

网页被篡改的方式

网页防篡改的方法主要有五种：

一、加强安全策略

具体比如强密码和正确的管理员权限分配，以及访问安全策略配置。

二、做好应用层防护

以方便过滤、监控并阻止有害的流量，Web应用层安全必不可少。

三、注重开发安全

在开放访问的所有Web应用开发阶段，使用必要的安全编码规则。

四、建立安全监测机制

使用安全监测机制验证网站的安全性，并对Web应用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测。

五、及时打补丁

确保系统Web应用、中间件、操作系统等始终处于必要的补丁更新状态，避免黑客利用已知漏洞攻击自己的站点。

05

为什么网页防篡改很重要

2、从网页被篡改后的影响面出发，可以发现，网页被篡改后会出现钓鱼，导致用户误以为正规网站出现经济损失；出现违法、灰色地带等违规内容；存在欺骗用户的虚假、欺诈内容；暗链；SQL注入、XXS跨站脚本、信息泄露安全风险被利用等。任何一个影响面的出现，都会导致网站受众以及网站运营者的经济损失。

3、从国家政策导向来看，网页防篡改也至关重要。在中华人民共和国公安部令-第82号、国务院办公厅关于进一步加强政府网站管理工作的通知、《政府网站与政务新媒体检查指标》以及相关网络安全法律法规中都有明文指出并要求做好网站安全防护工作。一旦网站被篡改，相关网站运营者也需要承担相应的法律责任。