正版新书]Web应用防火墙技术及应用/网络空间安全重点规划丛书杨

章 Web系统安全概述
1.1 Web系统安全现状
1.2 Web系统结构
1.2.1 静态
1.2.2 动态
1.. Web服务器
1.3 Web安全漏洞
1.3.1 应用系统安全漏洞
1.3.2 Web漏洞类型
1.3.3 Web系统安全技术
1.4 Web安全威胁前沿趋势
思考题
第2章 Web应用防火墙
2.1 WAF简介
2.2 WAF的功特点
2.2.1 WAF的功能
2.2.2 WAF的特点
2.. WAF产品能指标
. WAF部署
..1 串联防护部署模式
..2 旁路防护部署模式
2.4 WAF防护原理
2.4.1 Web应用安全监测
2.4.2 双重边界
2.4.3 纵深防御体系
思考题
第3章 HTTP校验和访问控制
3.1 HTTP
3.1.1 HTTP简介
3.1.2 统一资源定位符
3.1.3 HTTP请求
3.1.4 HTTP响应
3.1.5 HTTP消息
3.1.6 Cookie
3.2 HTTP校验
3.3 HTTP访问控制
思考题
第4章 Web防护
4.1 弱密码
4.1.1 弱密码攻击
4.1.2 弱密码检测
4.1.3 弱密码防范
4.2 SL注入
4.2.1 SL注入攻击原理
4.2.2 SL注入漏洞利用
4.. SL注入漏洞检测
4.2.4 SL注入漏洞防范
4.3 跨站脚本攻击
4.3.1 XSS攻击原理
4.3.2 XSS漏洞利用 4.3.3 XSS漏洞检测

第5章网页防篡改在社会信息化高展的今天，人们已经习惯通过浏览器和APP等客户端去访问Web，完成信息检索、网上购物和网上办公，攻击者对的攻击方法和手段也在不断变化，网页篡改就是针对Web、危害极大的攻击方法之一。网页被篡改后，用户访问的页面是被攻击者篡改后的页面，可能会遭受极大的危害，导致财产损失。本章将介绍网页篡改的原理和防范技术。5.1网页篡改的原理网页篡改通过恶意破坏或更改网页内容导致无法正常工作。攻击者利用漏洞破坏和篡改信息，给所属组织机构带来重大的经济损失，并造成恶劣的社会影响。攻击者利用冒页面模仿知名，误导用户输入用户名和口令等隐私信息；有的攻击者在Web服务器的网页中插入木马程序感染访问者的计算机，导致访问者计算机的系统崩溃、数据损坏和银行账户被盗等严重后果。据统计，2017年中国境内被篡改的数量为60684个，被篡改的月度统计如图51所示。
图512017年中国境内被篡改的数量月度统计从网页被篡改的方式来看，被植入暗链的占全部被篡改的68.0%，仍是中国境内被篡改的主要方式，但占比较前两年有所下降。从中国境内被篡改网页的域名分布来看，.com、.net和.cn占比列前三位，分别占总数的65.7%、7.6%和3.1%。2017年中国境内被篡改域名类型分布如图52所示。
图522017年中国境内被篡改域名类型分布虽然目前已有防火墙、入侵检测等各种网络安全防范手段，但由于Web应用系统复杂多样，各种漏洞层出不穷，攻击者利用各种攻击手段攻击Web服务器，导致Web的网页被篡改，从而造成严重的后果。Web应用防火墙技术及应用第5章网页防篡改5.2攻击者常用的网页篡改方法1.SL注入后获取Webshell攻击者利用Web应用程序的漏洞，提交非法的SL查询语句到数据库，利用Web服务器或第三方软件的漏洞获取服务器控制权限。主要步骤为以下三步:步，发现SL注入点；第二步，根据系统反馈的信息进一步进行注入，获取账号、密码等信息；第三步，上传Webshell，获得一个反向连接。
2.在Web页面中插入HTML代码
攻击者在Web页面中插入恶意HTML代码。当用户浏览该页面时，被嵌入的恶意HTML代码就会被执行，改变访问者的页面内容，从而达到恶意攻击用户的目的。
3.控制Web服务器Web服务器中存储着各种页面文件、数据文件和应用程序等供用户浏览和下载。攻击者可通过搜集服务器信息了解到服务器版本漏洞，从而获取服务器权限、数据库管理权限，进而控制Web服务器。
4.控制DNS服务器DNS(域名系统)将域名转换为IP地址，这样用户就不再需要记忆复杂而又毫无规律的IP地址，只需输入简单的域名即可访问。攻击者对的域名服务器进行攻击并获取域名的解析权限，然后改变域名对应的IP地址以达到篡改网页的目的。
5.ARP攻击ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈低层的协议，负责将IP地址解析成对应的MAC地址。通过ARP欺骗进行网页劫持的攻击会使Web服务器访问速度变慢，攻击者针对Web服务器所在的网段进行攻击，当其掌握了同网段的某台主机后，向Web服务器所在的主机发送ARP欺骗包，以截取并篡改请求访问网页的数据包，添加包含木马程序的网页链接，引诱访问者或者Web服务器指向此网页链接以达到篡改网页的目的。
根据劫持网页的位置不同，可将ARP攻击分为两种:一种是劫持并篡改局域网内客户端访问获得的网页；另一种是劫持并篡改局域网内Web服务器对外提供的网页。
种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断重复，使正确的地址信息无法通过更新方式保存在路由器中，因此路由器的所有数据只能发送给错误的MAC地址，而正常主机无法收到信息。客户端网页劫持流程如图53所示。
图53客户端网页劫持流程第二种ARP欺骗的原理是伪造网关。它建立一个网关，则被它欺骗的主机只会向网关数据，而不是通过正常的路由器途径上网，导致主机无法联网。ARP欺骗木马只需成功感染一台主机，就可导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。服务器端网页劫持流程如图54所示。
图54服务器端网页劫持流程5.3网页篡改防范技术网页防篡改是一种防止攻击者修改Web页面的技术，可以有效地阻止攻击者对Web页面进行恶意篡改。
为更好地介绍网页防篡改技术，以美术馆大楼为例来说明。Web服务器就是美术馆大楼，Web服务器中的文件目录就是美术馆大楼的展厅，每个网页文件就是展厅中挂着的作品。这些作品每天由工作人员不断管理维护，同时每天也有成千上万的游览者来观赏这些作品。网页防篡改系统就是保游览者看到的作品是真实的原作，而不是被非法者更换后的赝品。
一个有效的网页防篡改系统必须达到以下两个要求:（1）实现对网页文件的完整检查和保护，并达到的防护效果，即被篡改网页不可能被用户访问到。
（2）实现对已知的来自Web的数据库攻击手段的防范。
下面介绍几种常见的网页防篡改技术。
5.3.1时间轮询技术时间轮询技术是用网页检测程序以轮询扫描的方式监控网页，并将监控的网页与正确网页相比较，以判断网页内容的真实和完整，若页被篡改，则立即进行报警和恢复。采用时间轮询技术的网页防篡改系统部署实现简单，但由于相邻两次网页轮询扫描之间存在着一定的时间间隔，攻击者可以在这个时间间隔中发动攻击，导致用户访问到被篡改的网页。另外，时间轮询需要从外部不断扫描Web服务器文件，这会增加Web服务器的负载，且由于扫描频度（以及安全）和负载总是矛盾的，Web服务器的安全也会降低。图55为时间轮询监测流程。
图55时间轮询监测流程时间轮询就像是美术馆大楼配备一个保安对所有的作品进行巡检，他以一个普通观光者的身份在大楼中检查每个展厅的每个作品，与手里保存的作品的复制品进行比较，发现有可疑之处即进行报警。
这种方式的缺点是:当大楼规模很大，展厅和作品很多时，保安的工作量会大。并且对于某一作品，由于两次检查的时间间隔会很长，从保安本次巡检结束到下一次巡检到这个作品时有很长一段时间间隔，攻击者可以在这段时间内更换作品以达到攻击目的。
在的规模较小，中包含的页面较少的情况下，可以使用时间轮询技术防止网页被篡改。但当规模变大，网页特别多的时候，使用时间轮询技术所需的轮询检测时间较长，且占用系统资源较大，因此该技术逐渐被淘汰。
5.3.2核心内嵌技术核心内嵌技术又称密码水印技术。它将篡改检测模块内嵌在Web服务器里，先将网页内容采取非对称加密方式存放（非对称加密算法需要两个密钥——公钥和私钥来进行加密和解密，更加安全）。当用户请求访问网页时，将已经过加密验的网页内容进行解密，对外发布;若未经过验，则拒外发布。此技术通常结合事件触发机制对文件的部分属进行对比，如文件大小、页面生成时间等。
核心内嵌可以看作是保安在任何一位游览者观赏任何一个作品之前都要对该作品进行一次检查，若发现该作品可疑，即阻止游览者观赏。
这种方式的显著优点是:每个作品在每次被观赏前都会进行检查，因此可疑作品完全没有被游览者看到的可能。其缺点是:由于存在检查手续，降低了美术馆接待游览者的能力。
核心内嵌以无进程、篡改网页无法流出、使用密码学算法作支撑而著称，在服务器正式提交网页内容给用户之前对网页进行完整检查，对于已被篡改的网页进行实时访问阻断，并予以报警和恢复。其原理是:对每一个流出的网页进行水印（也就是散列值）检查，如果发现当前水印和之前记录的水印不同，则可断定该文件被篡改，即阻止其继续流出，并运行恢复程序进行恢复。这样即使攻击者通过各种未知的手段篡改了网页文件，被篡改的网页文件也无法流出服务器，被公众访问到。图56是核心内嵌结构。
图56核心内嵌结构核心内嵌技术避开了时间轮询技术的缺点（有轮询间隔），其安全对于时间轮询技术也大为提高。其缺点是需要对每个流出网页都进行完整检查，加密计算会占用大量服务器资源，给服务器造成较大负载，使系统反应较慢。随着技术的发展以及网络应用程序的增多，服务器的负载和资源利用要求十分苛刻，任何大量占用服务器资源的部分都会被慢慢淘汰，以确保的访问效率。
5.3.3事件触发技术事件触发技术是目前主流的网页防篡改技术之一，也是服务器负载的一种检测技术，经常和前面两种技术结合起来使用。该技术以稳定、可靠、占用资源少著称。其原理是:通过监控目录，利用操作系统的文件系统接口，在网页文件被修改时进行合法检查，根据规则判定是非法篡改，如果是非法篡改，立即进行报警和恢复。
事件触发技术就像美术馆大楼在正门进口处配备一个保安，保安对每一个作品进行检查，发现有可疑之处即进行报警。
由于美术馆大楼的结构十分复杂，攻击者通常不会选择从正门进来，而会从天花板、下水道甚至利用大楼结构的薄弱处自己挖洞进入，新的进入点会不断被发现，可见防守正门进口的策略是不能做到万无一失的，并且一旦非法作品混进了大楼，就再也不会对其进行检查，因而它也就再也不会被发现。这种方式的显著优点是:防范成本低，可以从根本上对非法篡改进行阻止。其缺点是:如果攻击者完全控制主机，那么这种技术就没有用武之地。
可以看出，该技术是典型的“后发制人”，即非法篡改已经发生后才可进行报警和恢复，其安全隐患有3个方面:（1）如果攻击者采取连续篡改的攻击方式，则网页很可能一直无法恢复，用户看到的一直是被篡改的网页。因为只有篡改发生后，防篡改程序才尝试进行恢复，有一个系统迟的间间隔，而连续篡改攻击是对一个文件进行每秒上千次篡改，这样文件恢复的速度永远也赶不上连续篡改的速度。
（2）如果文件被非法篡改后立即被恶意劫持，即攻击者通过浏览器劫持手段控制用户计算机的浏览器，则防篡改进程将无法对该文件进行恢复。
（3）事件触发技术的防篡改功能依赖于目录监控程序，如果监控程序被强行终止，则防篡改功能立刻消失，目录又面临被篡改的危险。
5.3.43种网页防篡改技术的对比上述3种网页防篡改技术的对比如表51所示。表513种网页防篡改技术的对比对比项目时间轮询技术核心内嵌技术事件触发技术访问被篡改网页可能不可能可能保护动态内容不能能不能服务器负载中低低带宽用无无检测时间分钟级实时秒级绕过检测机制不可能不可能可能防范连续篡改攻击不能能不能保护所有网页不能能能保护动态网页脚本不支持支持支持适用操作系统所有所有受上传检测不能能受断线保护不能能不能下面对部分对比情况进行说明。
1.访问被篡改网页时间轮询技术无法阻止用户访问到被篡改网页，只能在被篡改后一段时间发现和恢复。
核心内嵌技术能够完全阻止用户访问到被篡改网页，真正做到万无一失。
事件触发技术对网页流出没有任何检查，在一些情形下，用户有可能访问到被篡改网页。
2.保护动态内容时间轮询技术监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况实时变化的，时间轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。
核心内嵌技术内嵌于Web服务器软件内部，能够完全截获用户请求数据，通过阻挡对数据库的注入式攻击来保护动态网页内容的安全。
事件触发技术仅工作在操作系统层面上，未和Web服务器软件发生关联，因此无法获得用户的Web请求数据，对动态内容的篡改无能为力。
3.服务器负载时间轮询技术由于从外部不断地、独立地扫描Web服务器文件，因此会使Web服务器产生相当的负载。
核心内嵌技术的篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出网页文件后，由篡改检测模块进行水印比对，因此需占用一定的CPU计算时间。但这个计算是在内存中进行的，与Web服务器软件从硬盘中读取网页文件的作相，额外产生的负载是小的。
事件触发技术由于只在正常网页发布时进行安全检查，因此对网页访问几乎没有影响，额外产生的服务器负载也小。
4.带宽占用时间轮询技术从外部独立检测网页，需要占用网络带宽。
核心内嵌技术和事件触发技术都在服务器上进行检测，不占用网络带宽。
5.绕过检测机制时间轮询由外部主机进行，攻击者不可能绕过检测机制。
核心内嵌技术由于将检测模块整合在Web服务器软件里，对每一个网页都进行篡改检查，不可能有网页绕过检测机制。
事件触发技术并不能确保捕获对文件的所有方式的修改，例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等，因而很容易被攻击者绕过，而且一旦成功，系统无法发现和恢复。
6.防范连续篡改攻击采用时间轮询技术时，由于连续篡改过程可以只针对一个重要网页（例如首页）利用程序自动、连续进行，因此，即使扫描时间间隔设置得再小（例如1min），也无法阻止篡改后的网页被用户访问到。
事件触发技术对Web服务器软件没有控制能力，发现篡改后无法协调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。
核心内嵌技术在每次输出网页时都进行完整检查，如有变化则阻断发送，因此无论连续攻击多么迅速和频繁，都无法使用户看到被篡改的网页。
7.保护动态网页脚本动态网页由网页脚本和内容组成，网页脚本以文件形式存在于Web服务器上，网页内容则取自于数据库。
时间轮询技术监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，时间轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页脚本的防篡改保护。
核心内嵌技术和事件触发技术可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够像保护静态网页一样保护动态网页脚本。
（8）断线时保护采用时间轮询技术和事件触发技术时，如果攻击者中断了Web服务器和备份网页服务器的连接，被篡改的网页就无法即时恢复，而与此同时，大量用户有可能访问到这个网页，将造成严重后果。
采用核心内嵌技术时，即使攻击者中断了Web服务器和备份网页服务器的连接，被篡改网页也不会流出。
5.3.5网页防篡改系统
网页防篡改系统对网页文件提供实时动态保护，对未经授权的非法访问行为一律进行拦截，防止非法人员篡改、删除受保护的文件，确保网页文件的完整。站服务器管理人员和维护人员通过设置保护策略，指定目录的保护属，使受到保护的目录、文件没有经过授权不能更改和删除，对未授权的增加、修改（包括文件属修改、重命名、移动）和删除行为进行报警。图57是网页防篡改系统结构示意图。
图57网页防篡改系统结构网页防篡改措施通常包括以下几方面:（1）给正常文件颁发通行。将正常的程序文件数量、名称记录下来并保存，将每一个正常文件的MD5散列值做成数字签名存入数据库；当遇到攻击者修改主页、挂马、提交Webshell的时候，由于这些文件是被修改过或新提交的，没有在数据库中存储，则将文件删除或恢复即可达到防护目的。
（2）检测和防护SL注入攻击。通过过滤SL危险字符，将其进行无害化编码或者转码，从源头制止SL注入攻击；对提交到Web服务器的数据报进行过滤，检测含有eval.wscript.shel.rme等。
（3）检测和防护DNS攻击。不断在本地用nslookup（可以查到DNS记录的生存时间，还可以指定使用哪个DNS服务器进行解释）解析域名，以监视域名的指向合法。
（4）检测和防护ARP攻击。绑定MAC地址，检测ARP攻击并过滤危险的ARP数据报。
（5）过滤对Web服务器的请求。设置访问控制列表，设置IP黑名单和白名单，过滤非法访问后台的IP；对Web服务器文件的请求进行文件预解析,对比预解析后的文件与原文件的差异，若存在差异，取源文件返回请求方。
思考题1.网页篡改的原理是什么？
2.攻击者常用的网页篡改方式有哪些？
3.网页篡改防范技术有哪些？每种防范技术的优缺点有哪些？
4.从保护动态内容、服务器负载、检测时间3方面对网页防篡改技术进行对比。
5.网页防篡改措施通常包括哪些？