网页防篡改系统与网站安全

随着网络安全攻防实战演习常态化，企事业单位的网络安全规划标准、建设水平和管理能力均得到大幅提升，反过来也促进了网络安全产品的更新迭代。很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战，网页防篡改系统也不例外。

传统的网站安全防护体系中，网页防篡改系统的防护目标是保护网页不被篡改。狭义的网页篡改，是指存在于 Web 服务器上的网页文件被攻击者修改。在过去，由于 Web 应用系统发布、运维环节不规范，运维/开发人员安全意识薄弱，攻击者可以利用各种 Web 服务器文件系统权限管控上的缺陷直接篡改网页。所以，传统的网页防篡改系统的防护焦点也定位在识别并阻止这种直接篡改网页的行为。亦或在篡改发生后，及时识别篡改并采取阻止访问、自动恢复被篡改页面等处置措施。

网站运维的规范化、网站安全防护体系的日趋完善使得攻击者直接篡改网页变得越来越难。这一现状迫使攻击者将攻击目标从网页文件本身转向与网页文件相关的网站系统其它资源 (如配置文件、上传文件、动态文件等)。通过攻击这些资源，迂回达到篡改网页文件的目的。例如：攻击者通过篡改 Web 中间件配置文件，在其中加入重定向或反向代理处理，或者修改响应码自定义页面，进而实现不篡改网页文件却让访问者在访问网站时看到被篡改的内容。

此外，在近几年的网页篡改攻击研判案例中，攻击者通过供应链攻击、旁站攻击等攻击手段达成篡改目标网站网页文件目的的事件屡见不鲜。例如：攻击者通过探测网站后台入口，再通过撞库、爆破等手段登入网站后台，进而利用后台程序漏洞植入恶意程序或直接在后台编辑包含不当内容、不当链接的网页。

传统的网页防篡改产品无力应对上述挑战，主要是以下几方面原因：

1. 传统网页防篡改产品确定产品的防护边界完全依赖于产品实施人员的经验。防护边界定的过窄，则防护可靠性大打折扣；防护边界定的过宽，则防护措施的可行性难以保证。
2. 不同类型文件的变更方式和频度不一样，如框架文件和静态资源等变更频率较低，而用户生成的文件变更频率高且类型众多。可采用的防护手段和防护手段所能达到的防护效果都受到客观条件的约束。传统网页防篡改产品即使有足够多样的防护手段，要想针对不同防护对象采取恰当的防护措施，也要受制于产品实施人员的经验。
3. 传统环境下的网页防篡改系统是在一个相对封闭的环境中运行的。也就是说，传统环境下，网站都是相互隔离的，一个单位的网站被篡改并不会对另一个单位的网站造成任何实际的影响。但当下，在虚拟化环境逐渐成为主流的背景下，网站从“独门独栋”的运行环境变成了“合租”甚至“群租”的运行环境。在这种环境下，一个单位的网站被篡改就有很大可能会造成整个虚拟化环境中的网站都面临巨大的安全风险。因此，虚拟化环境中的网页防篡改系统仅仅自扫门前雪是不行的，还要在对篡改攻击追根溯源的基础上，对攻击者在篡改攻击过程中埋下的各种安全隐患进行清理和隔离。而传统网页防篡改产品并不具备这样的能力。

因此，为了应对这些新挑战，要实现具备实战对抗能力的网页防篡改，就不能仅仅只保护网页文件。而需要从网站安全的整体视角大处着眼，从对抗各种篡改攻击的细微处入手。这就要求网页防篡改系统有足够的防护手段，并且针对不同防护对象采取恰当的防护措施。

为了应对上述新挑战，上海天存信息技术有限公司推出了iGuard网页防篡改系统 V6.0版，简称iGuard V6。iGuard V6将防护焦点从网站系统的文件或目录转向到网站系统本身。通过全面梳理网站系统的资产从安全工程的角度审视整个网站系统，勘定网页防篡改系统的防护边界。

图1

iGuard V6 将各种可用于实现网页防篡改的技术和工具集成于一个统一的平台上。依据防护对象在 Web 服务中所起的作用，将它们划分为四种类型，并依据 Web 应用程序的运维特性，确定防护对象的更新方式。防护对象的类型与更新方式，决定了其具有不同的脆弱性。iGuard V6 根据防护对象的脆弱性对其采用差异化的防护措施。

图2

iGuard V6 的防护机制分为常态防护和对抗防护两个维度。常态防护在平时针对网站系统所面临的篡改威胁对相关文件资产进行完整性和安全性监测；对抗防护在战时对文件遭到的篡改攻击进行实时侦测和拦截。通过平战结合的综合措施消弭网站系统的篡改风险。

如果将网站系统视为一座城池，iGuard V6 在这座城池上构建起一套纵深防御体系，针对攻击者的各种攻击手段，采取层层布控、坚壁清野、正本清源等各种策略，实现固若金汤的网页防篡改。

图3

例如，针对攻击者攻陷网站后台篡改网页的攻击手段，iGuard V6 采用“坚壁清野”和“正本清源”的防御策略：

No.1 坚 壁

利用应用防护模块抵御攻击者为了探测/登入网站后台发起的 SQL 注入攻击等 Web 应用层攻击。

No.2 清 野

在网站后台服务器上通过轮询扫描/比对对关键目录进行扫描，发现并清理攻击者已经植入的 WebShell，通过驱动过滤、驱动扫描阻止攻击者植入新的 WebShell。

No.3 正 本

通过采用可信发布机制，在发布可信源上对待发布文件进行审查，发现其中的伪装文件、网页木马以及包含不当链接和敏感文字的网页文件。

No.4 清 源

对通过审查的待发布文件签发数字水印，数字水印不可伪造、不可篡改。轮询比对对关键目录下文件进行数字水印校验，内嵌比对在网页被访问时进行数字水印校验。只有携带数字水印才允许驻留于 web 服务器上并被正常访问。

这样一来，攻击者无论是利用后台漏洞上传 WebShell 来篡改网页，还是污染程序源代码并将污染后的源代码通过合法渠道更新到 Web 服务器形成篡改攻击，都能被有效遏制。（天存信息）