由於waf方式並沒有解決網頁篡改,只是緩解而已,特別是網頁防篡改功能可能導致整個站點斷服的風險,讓waf方式差強人意。
不把雞蛋放在乙個籃子裡,考慮一下把網頁防篡改功能在webserver上實現。這樣,即使乙個webserver出現問題,不會影響整個站點。
那麼,它應該是怎樣的實現方式?
先回顧一下這兩個問題:
發現站點網頁被惡意篡改或惡意上傳,並對它恢復或刪除,同時上報異常檔案的日誌。
分辨出正常的網頁更新,不會用舊版本的頁面覆蓋新版本的頁面。
根據上一節的討論,第2個問題,可以通過操作同步的方式,把新發布的檔案來更新cache裡的內容,可以使用webserver的過載或重啟方式。
那麼,webserver應該怎麼檢測網頁檔案被惡意篡改?
一般有三種方式:
如何實現網頁防篡改
最近想和朋友搞乙個防篡改的東西,我自己羅列了一些,諮詢下各位篡改網頁的途徑和相應的方法,小弟不才,不勝賜教.一 網頁篡改的途徑 1 sql注入後獲取webshell 黑客通過web應用程式的漏洞,通過sql語句提交非法的語句到資料,通過系統以及第三方軟體的漏洞獲取web的控制許可權或者伺服器許可權 ...
安全系列之網頁防篡改系統
3手裡的乙個雲專案交付了半年,客戶業務系統也順利通過了雲上等保測評二級,為了提前為等保 做好準備,客戶擬購買一些雲上的安全服務,需要服務商提供安全諮詢,為此我們認真研究了一系列安全服務的工作原理,以提公升安全服務能力。今天我們從比較簡單的網頁防篡改系統入手。一 為什麼需要網頁防篡改 網頁相當於是乙個...
8種方法突破iGuard網頁防篡改軟體保護
前段時間在搞乙個受到網頁防篡改保護的 之前不知道有這東西,後來在植入web後門的時候,老是被刪掉,鬱悶.之後通過社工騙取了一套試用版,接下來的2天裡,通過在虛擬機器中反覆測試,終於把這東西的原理摸熟了,並找到8種辦法 突破iguard的保護,其中有幾種不用管理員許可權就能突破.2天的成果,分享出來讓...