WAF技术及应用读书笔记（五）网页防篡改

第五章 网页防篡改
    有WAF保护仍不足够，攻击者利用各种漏洞配合攻击Web服务器仍将导致Web网站的网页被篡改，
    
    5.1 网页防篡改的危害
        常见的篡改有钓鱼隐私信息，网页挂恶意木马等。    
    
    5.2 攻击者常用的网页篡改手法
        SQL注入，获取敏感信息，挂Shell
        直接在原网页，插入恶意HTML
        控制整个服务器，拿Root，拖库
        控制DNS服务器，劫持域名。
        ARP劫持，控制服务器所在内网，扩大影响，篡改所有网页。

    5.3 网页篡改防范技术
        5.3.1 时间轮训技术
            隔一段时间校验一次，看修改时间和大小判断，决定是否报警和恢复。
            要占用独立的带宽和检测时间长。
        5.3.2 核心内嵌技术
            每次访问时自行完成校验，用密码水印技术，通常是私钥加密，公钥解密。
            安全性最高，但是会影响请求的并发量。
        5.3.3 事件触发技术
            在系统层面监控目录，观察是否有异常事件，有的话执行报警和恢复。
            虽然安全性不是很高，但是节省资源。            
        5.3.4 3种网页防篡改技术的对比
            核心内嵌与独特的魅力。
                例如：不可绕过，篡改不可访问，检测及时，动态内容保护等。
            时间轮训在数据量剧增的今天已慢慢淘汰。
            事件触发以节省资源为特色，也非常流行。
        5.3.5 网页防篡改系统
            设计网页防篡改系统是为了给网页文件提供实时动态保护。
            要做到实时动态保护，访问控制是最基础的内容，
                遇到异常可以进行报警和使用备份文件恢复。
            常见的几个防护点：
                给网页文件发通行证MD5，防护常见攻击（SQL注入、DNS攻击、ARP攻击）

    
    思考题：
        1.网页篡改的原理是什么？
            答：
                在原本正常的网页上诱导用户输入隐私信息，挂上恶意木马。
        2.攻击者常用的网页篡改方式有哪些？
            答：
                SQL注入，套敏感信息，拿shell
                插入恶意的HTML代码，盗取用户信息。
                读取所有页面，利用敏感信息拿服务器Root，拖库。
                控制DNS服务器，劫持域名，转去钓鱼网站。
                ARP劫持，控制服务器所在内网，扩大影响，篡改所有感兴趣的网页。
        3.网页篡改防范技术有哪些？每种防范技术的优缺点有哪些？
            答：
                有3种，
                    最通用是时间轮训检测页面，耗带宽耗时间耗资源。
                    优点是攻击者不可绕过，通用性强。
                    最安全的是核心内嵌技术，检测及时，篡改内容不外泄，内容可恢复等。
                    缺点是耗CPU资源，影响网页的并发量。
                    最节省资源的是事件触发技术，检测面广。
                    缺点是可被绕过。
        4.从保护动态内容、服务器负载、检测时间3方面对网页防篡改技术进行对比。
            答：
                保护动态内容只有核心内嵌技术可以做到。
                    因为动态内容检测，需要解析每一次请求的资源，
                        程序需要理解HTTP请求的行为，只有核心内嵌可以解析。
                        事件触发基于系统层面的文件目录监测，不能解析请求。
                        时间轮训基于外部模拟网页请求做监测，
                            只能被动解析HTTP返回的静态内容。
                服务器负载最重为时间轮训技术，
                    在服务器外部扫描网页，对带宽和性能都有损耗。
                其次是核心内嵌技术，
                    每个页面请求，都在内存上做公钥解密损耗CPU资源。
                最节省资源的是事件触发技术，
                    在系统层面监控文件目录系统，发现异常时报警和恢复。
                检测时间最短的是核心内嵌技术，在内存上进行解密操作，即时完成。
                检测时间最长的是时间轮训技术，页面越多，耗费时间越多，分钟级别。
                检测时间中等水平是事件触发技术，秒级别触发。
        5.网页防篡改措施通常包括哪些?
            答：
                给文件做MD5散列，把散列存在数据库中。
                给Web应用做SQL注入防护、以及DNS防护（监视nslookup）
                ARP内网保护，绑定MAC地址。