【网络安全设备系列】13、网页防篡改

0x00 定义：

网页防篡改系统是用于保护网站安全、防止黑客入侵、篡改网站的网站防护设备。

0x01 工作原理：

  

(author https://www.cnblogs.com/Shepherdzhao/)

一般一个完整的系统应由如下部分组成：发布服务器程序、同步服务器程序、交互页面远程控制台，同时还可以选择配置防篡改模块。各部分主要功能如下：

1.发布服务器程序（更新端）

安装在内网的独立服务器上，其远程访问一般限制由某些指定段IP机器进行，负责将合法的网页文件通过安全通信发送到WEB服务器，它也是系统的管理中心。

发布服务器程序必须能够自动发现网站文件发布文件夹下被更新的文件；传输本地修改的文件及对方请求的文件；更新上传合法文件水印信息；记录上传、更新、篡改、恢复等日志信息；发送报警邮件。

2.同步服务器程序（监控端）

安装在WEB服务器上，负责接收发布服务器发送来的合法网页变化，并保存其数字水印，监视本机未经许可的文件变化并向服务器请求恢复变化的文件。

同步服务器必须能够循环监控被保护文件变化，对当前文件计算的水印与其保存的水印比对不一致的，向发布服务器请求重新传输；自动更新接收文件水印信息。

3.远程控制台（管理端）

运行在管理员桌面上，提供远程方式对发布服务器的管理及日志内容查看。

4.防篡改模块（IIS Filter）

内嵌在IIS WEB服务器软件里，对所有的网页文件请求进行合法性检查，并对所有发送的网页进行数字水印比对。

5.内容保护过程

对浏览器的网页浏览请求，防篡改模块检查其头部信息，检查请求的文件是否在监视列表中，如果存在于监视列表中，则将文件数字水印与保存在数据库中的有效水印比对，一致则允许访问，否则拒绝访问。

同步服务器对监视到的非法文件变化，向发布服务器请求重新传输和恢复该文件。文件恢复后，WEB服务器将正确的网页内容发送给浏览器。

0x02 网页防篡改三种技术:

l  外挂轮询技术用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

l  核心内嵌技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

l  事件触发技术利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。