如何實現網頁防篡改

最近想和朋友搞乙個防篡改的東西,我自己羅列了一些,諮詢下各位篡改網頁的途徑和相應的方法,小弟不才,不勝賜教.

一、網頁篡改的途徑

（1）sql注入後獲取webshell：

黑客通過web應用程式的漏洞，通過sql語句提交非法的語句到資料，通過系統以及第三方軟體的漏洞獲取web的控制許可權或者伺服器許可權；

（2）xss漏洞引入惡意html介面：

被動的跨站攻擊可以在合法的地方引入非法的html或者js**，從而讓訪問者「正常」的改變頁面內容；例如：校內網蠕蟲；

（3）控制了web伺服器：

攻擊者可能通過伺服器或者第三方的漏洞，獲取了伺服器許可權、資料庫管理許可權進而修改頁面；

（4）控制了dns伺服器：

攻擊者對**的網域名稱伺服器進行滲透，獲取了網域名稱的解析許可權，改變了解析位址以達到篡改的效果；例如：百度被黑事件；

（5）遭遇了arp攻擊：

攻擊者可能會針對web伺服器所在的外段進行攻擊，當掌握了同網段某台機器以後對web伺服器所在的主機傳送arp欺騙包，引誘訪問者或者web伺服器指向其他頁面以達到篡改效果；

二、網頁防篡改的途徑

（1）給正常檔案乙個通行證；

將正常的程式檔案數量、名稱記錄下來，並儲存每乙個正常檔案的md5雜湊做成數字簽名存入資料庫；如果當遇到黑客攻擊修改主頁、掛馬、提交webshell的時候，由於這些檔案被修改過或者是新提交的，沒有在資料庫中存在，則將其刪除或者恢復以達到防護效果；

（2）檢測和防護sql注入攻擊；

通過過濾sql危險字元如：「』、select、where、insert、,、;」等等將其進行無害化編碼或者轉碼，從源頭遏止；對提交到web伺服器的資料報進行過濾檢測是否含有「eval、wscript.shell、iframe」等等；

（3）檢測和防護dns攻擊解析；

不斷在本地通過nslookup解析網域名稱以監視網域名稱的指向是否合法；

（4）檢測和防護arp攻擊；

繫結mac位址，檢測arp攻擊並過濾掉危險的arp資料報；

（5）過濾對web伺服器的請求；

設定訪問控制列表，設定ip黑名單和白名單過濾掉非法訪問後台的ip；對web伺服器檔案的請求進行檔案預解析，對比解析的檔案與原檔案差異，存在差異的取原始檔返回請求；

（6）做好集群或者資料庫加密；

對於nt系統設定好資料夾許可權，控制因操作失誤所帶來的損失；對於sql 2005可以設定管理ip和資料庫加密，切斷資料庫篡改的源頭；

（7）加強培訓；

加強安全意識培訓，操作合理化培訓，從程式自身的源頭遏制，從管理員自身的源頭遏制。