淺談應對網站篡改技術手段

◆劉 翔

（湖北省公眾氣象服務中心 湖北 430074）

淺談應對網站篡改技術手段

◆劉 翔

（湖北省公眾氣象服務中心 湖北 430074）

網站是一個單位的門臉，網站防篡改是一個單位網絡安全的重點，本文站在一個網站開發和管理的角度，分析網站篡改的主要攻擊手段，用經驗和實例來說明應對網站的技術手段。

網站；黑客攻擊手段；防篡改技術；網站代碼

0 引言

對于一個單位的網站管理者，雖然要面對層出不窮的應用安全事件，但筆者認為首當其沖是要防網站被篡改。根據國家互聯網應急中心（CNCERT）《中國互聯網網絡安全報告（年報）》中監測數據，2014年我國境內近3.7萬個網站被黑客篡改，2015年有近2.5萬個網站被篡改，其中被篡改政府網站2014年有1763個，2015年有篡改898個。雖然隨著國家對網絡安全法制化進程不斷加快和政府部門的防范意識不斷提高，政府網站被攻擊現象呈現下降趨勢，但由于國內外形勢依舊復雜，非法團體和敵對勢力無時不想利用手段摸黑政府形象，總體上網站安全風險依然形勢嚴峻。從網頁篡改的方式來看，我國被植入暗鏈的網站占全部被篡改網站的比例高達83%，在被篡改的政府網站中，超過85%的網頁篡改方式是植入暗鏈。植入暗鏈已成為黑客地下產業鏈牟利方式之一，2015年CNCERT處理參與網頁篡改攻擊的博彩、私服等非法網站鏈接6320個，通知5609個被植入暗鏈網站用戶單位對網站進行修復。

1 涉及篡改的主要攻擊手段

1.1 SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。通過遞交參數構造巧妙的SQL語句，從而成功獲取想要的數據。其分為字符型注入和數字型的注入，由于編程語言不同，所存在的注入類型也不同。危害有：非法查詢其他數據庫資源，如管理員帳號；執行系統命令；獲取服務器root權限。

1.2 跨站腳本攻擊

通常簡寫為XSS，是指攻者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。其危害有盜取用戶cookie；XSS蠕蟲；掛馬，結合XSS蠕蟲，危害巨大。

1.3 利用操作系統和網站服務程序自身漏洞攻擊

服務器操作系統和網站服務程序隨著時間推移，總是會被發現存在很多漏洞，2016年4月中國互聯網被Apache Struts2（官方編號S2-032/CVE編號CVE-2016-3081）漏洞血洗，一個月內被植入后門的網站達六千多家，其開啟動態方法調用（DMI）的情況下，可以被遠程執行任意命令。這些正是黑客利用工具掃描出網站服務器如IIS和Apache等服務軟件的幫助信息等默認配置文件及其版本信息，開發出漏洞利用POC，發布在互聯網上，吸引了更多的互聯網攻擊和掃描嘗試。此外，網頁中包含了提交時的內部網絡IP等敏感信息；服務器的默認端口和服務，如windows的默認ipc$共享等這些很容易忽視的信息泄露點。

2 應用代碼處理手段

2.1 應用代碼安全才是真正的Web安全

關于Web應用程序安全性，必須認識到的第一件事是不應該信任外部數據，應用代碼安全才是真正的Web安全。外部數據（outside data）包括不是由程序員在網站代碼中直接輸入的任何數據。在采取措施確保安全之前，來自任何其他來源（比如GET 變量、表單 POST、數據庫、配置文件、會話變量或 cookie）的任何數據都是不可信任的。在開發應用程序時，嚴格檢查用戶輸入，注意一些特殊字符：“’”“；”“[”“--””||”等。

例如，在網站每個應用代碼中可加一些用戶提交POST過濾：

2.2 轉義用戶輸入內容

轉義最重要的是防止XSS攻擊和SQL注入。對于需要插入的不可信內容必須先進行轉義（尤其對特殊字符、語法符合必須轉義或重新編碼）。

例如：用戶提交到網站一段信息，該信息中夾帶了這么一段

2.3 使用參數化的查詢

參數化查詢（Parameterized Query 或 Parameterized Statement）是指在設計與數據庫鏈接并訪問數據時，在需要填入數值或數據的地方，使用參數（Parameter）來給值，這個方法目前已被視為最有效可預防SQL注入攻擊的防御方式。

要獲得一個參數化查詢，需要以一種特定的方式來編寫代碼，或它需要滿足一組特定的標準。有兩種不同的方式來創建參數化查詢。第一個方式是讓查詢優化器自動地參數化查詢。另一個方式是通過以一個特定方式來編寫T-SQL代碼，并將它傳遞給sp_executeSQL系統存儲過程，從而編程一個參數化查詢。在使用參數化查詢的情況下，數據庫服務器不會將參數的內容視為SQL指令的一部份來處理，而是在數據庫完成SQL指令的編譯后，才套用參數運行，因此就算參數中含有指令，也不會被數據庫運行。Access、SQL Server、MySQL、SQLite等常用數據庫都支持參數化查詢。

3 做好網站服務程序的安全設置和升級

其包括最小化SQL權限，并禁用數據庫默認帳號，將IIS中WebDAV支持禁用，Apache Cookie設置為HttpOnly，如使用tomcat，配置可Web.xml如下：

前文提到的S2-032，首先禁用動態方法調用，修改Struts2的配置文件，將“struts.enable.DynamicMethodInvocation”的值設置為false，例如：

此外，當下流行.net開發的網站，在整站總體上可首先對SQL注入做特定過濾配置，其一般包括文件有數據驗證類parameterCheck.cs文件加過濾、Web.config文件中增加相應標簽，Global.asax做特定處理，此三文件處理方式網上有很多經典案例，這里不在贅述。

4 信息泄漏的防范手段

信息泄漏的防范主要包括，使用防火墻和IDS，用效阻斷黑客的掃描；關閉不必要的端口和服務，如刪除windows的默認ipc$共享；修改服務器軟件的版本信息，不使軟件的版本等信息泄漏，刪除服務軟件的幫助信息等默認配置文件，如IIS和Apache默認配置文件；設置網絡設備的訪問控制列表，不將網絡拓撲等敏感信息放到容易得到的地方，不要告訴陌生人任何敏感信息，使用加密的傳輸通道等等。

5 必要的現實防護-WEB應用防火墻

Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一種設備。傳統的防火墻是作為訪問控制設備，主要工作在OSI 模型的三、四層，僅對IP 報文進行檢測。它無需理解Web 應用程序語言（如HTML 及XML），也無需理解HTTP 會話。因此，它不可能對HTML 應用程序用戶端的輸入進行驗證，或是不可檢測到一個已經被惡意修改過參數的URL 請求。有一些定位比較綜合、功能比較豐富的防火墻，例如帶有IDS/IPS功能的防火墻雖然彌補了防火墻的某些缺陷，但由于對Web 的檢測粒度不夠細，隨著網絡技術和Web 應用的發展復雜化，在Web 專用防護領域也力不從心。

WEB應用防火墻 旨在保護Web 應用程序免受常見攻擊的威脅，通過分析應用層的流量以發現任何違法安全策略的安全問題。WEB應用防火墻 在網絡中一般位于傳統防火墻之后，網站服務器前，用于保護應用服務器。它提供的功能可能包括服務器之間的流量負載均衡、壓縮、加密，HTTP 和HTTPS 流量的反向代理，檢查應用程序的一致性和匯聚TCP 會話等。

6 結束語

再提句網絡安全上非常客觀舊的話，對于網站安全防護是：“三分技術，七分管理”。網站安全上怎么防，技術手段所占比重還是排在管理之后，必須建立網站安全管理制度，特別是加強對單位內從事網站相關工作人員的管理和建立快速的網站安全事件應急響應機制更為重要。

[1]國家互聯網應急中心．我國互聯網網絡安全態勢綜述，2015．

[2]李學峰．淺談政府門戶網站WEB的防篡改技術應用．計算機光盤軟件與應用，2011．

[3]劉志光．Web應用防火墻技術分析．情報探索，2014．

圖1 網絡訪問控制系統的網絡拓撲

在本文中主要研究的是中小型網絡的網絡訪問控制系統的設計，采用的是SELinux的安全特性，通過安全標簽進行訪問控制，從而使訪問行為的主體和客體全部變為安全便簽屬性，并將其直接發送到訪問控制系統中，并通過對應的訪問控制系統對訪問行為進行控制。

首先是系統環境描述，在本中設計的是一個高安全等級的防火墻系統，采用的是集中訪問控制模式，需要對用戶的資源以及系統對訪問行為進行控制，保護用戶的安全新型。對于這一系統，其主要分為三個部分，通過這三個部分的寫作進行訪問控制，而不同單元之間采用的是Linux操作系統。對于內外網之間的處理單元，其對稱性要求較強，這種模式既能夠實現外網的過濾，防止非法訪問請求的發生，此外，還能夠對內部用戶的信息等進行保護。

然后是安全標簽的提取和傳輸，在本文的訪問控制中采用的是安全標簽進行傳輸，該系統首先需要有網絡管理人員對用戶的安全標簽進行初始化，然后根據具體的要求進行標簽的設置。

4 總結

隨著社會的發展，網絡技術也在快速發展，這使得不同部門和領域之間的交流越來越多，傳統的網絡訪問控制權限較低，在本文中對中小型網絡的網絡訪問控制進行了研究與管理。

參考文獻：

[1]蔣福德，譚彬，鐘誠，歐旭，劉維權．中小型WLAN網絡安全防范探討[J]．信息安全與通信保密，2012．

[2]李強．訪問控制列表（ACL）在網絡安全設計中的應用[J]．計算機與網絡，2004．