淺談應(yīng)對網(wǎng)站篡改技術(shù)手段

◆劉 翔

（湖北省公眾氣象服務(wù)中心 湖北 430074）

淺談應(yīng)對網(wǎng)站篡改技術(shù)手段

◆劉 翔

（湖北省公眾氣象服務(wù)中心 湖北 430074）

網(wǎng)站是一個單位的門臉，網(wǎng)站防篡改是一個單位網(wǎng)絡(luò)安全的重點(diǎn)，本文站在一個網(wǎng)站開發(fā)和管理的角度，分析網(wǎng)站篡改的主要攻擊手段，用經(jīng)驗(yàn)和實(shí)例來說明應(yīng)對網(wǎng)站的技術(shù)手段。

網(wǎng)站；黑客攻擊手段；防篡改技術(shù)；網(wǎng)站代碼

0 引言

對于一個單位的網(wǎng)站管理者，雖然要面對層出不窮的應(yīng)用安全事件，但筆者認(rèn)為首當(dāng)其沖是要防網(wǎng)站被篡改。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告（年報(bào)）》中監(jiān)測數(shù)據(jù)，2014年我國境內(nèi)近3.7萬個網(wǎng)站被黑客篡改，2015年有近2.5萬個網(wǎng)站被篡改，其中被篡改政府網(wǎng)站2014年有1763個，2015年有篡改898個。雖然隨著國家對網(wǎng)絡(luò)安全法制化進(jìn)程不斷加快和政府部門的防范意識不斷提高，政府網(wǎng)站被攻擊現(xiàn)象呈現(xiàn)下降趨勢，但由于國內(nèi)外形勢依舊復(fù)雜，非法團(tuán)體和敵對勢力無時不想利用手段摸黑政府形象，總體上網(wǎng)站安全風(fēng)險(xiǎn)依然形勢嚴(yán)峻。從網(wǎng)頁篡改的方式來看，我國被植入暗鏈的網(wǎng)站占全部被篡改網(wǎng)站的比例高達(dá)83%，在被篡改的政府網(wǎng)站中，超過85%的網(wǎng)頁篡改方式是植入暗鏈。植入暗鏈已成為黑客地下產(chǎn)業(yè)鏈牟利方式之一，2015年CNCERT處理參與網(wǎng)頁篡改攻擊的博彩、私服等非法網(wǎng)站鏈接6320個，通知5609個被植入暗鏈網(wǎng)站用戶單位對網(wǎng)站進(jìn)行修復(fù)。

1 涉及篡改的主要攻擊手段

1.1 SQL注入

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。通過遞交參數(shù)構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。其分為字符型注入和數(shù)字型的注入，由于編程語言不同，所存在的注入類型也不同。危害有：非法查詢其他數(shù)據(jù)庫資源，如管理員帳號；執(zhí)行系統(tǒng)命令；獲取服務(wù)器root權(quán)限。

1.2 跨站腳本攻擊

通常簡寫為XSS，是指攻者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式。其危害有盜取用戶cookie；XSS蠕蟲；掛馬，結(jié)合XSS蠕蟲，危害巨大。

1.3 利用操作系統(tǒng)和網(wǎng)站服務(wù)程序自身漏洞攻擊

服務(wù)器操作系統(tǒng)和網(wǎng)站服務(wù)程序隨著時間推移，總是會被發(fā)現(xiàn)存在很多漏洞，2016年4月中國互聯(lián)網(wǎng)被Apache Struts2（官方編號S2-032/CVE編號CVE-2016-3081）漏洞血洗，一個月內(nèi)被植入后門的網(wǎng)站達(dá)六千多家，其開啟動態(tài)方法調(diào)用（DMI）的情況下，可以被遠(yuǎn)程執(zhí)行任意命令。這些正是黑客利用工具掃描出網(wǎng)站服務(wù)器如IIS和Apache等服務(wù)軟件的幫助信息等默認(rèn)配置文件及其版本信息，開發(fā)出漏洞利用POC，發(fā)布在互聯(lián)網(wǎng)上，吸引了更多的互聯(lián)網(wǎng)攻擊和掃描嘗試。此外，網(wǎng)頁中包含了提交時的內(nèi)部網(wǎng)絡(luò)IP等敏感信息；服務(wù)器的默認(rèn)端口和服務(wù)，如windows的默認(rèn)ipc$共享等這些很容易忽視的信息泄露點(diǎn)。

2 應(yīng)用代碼處理手段

2.1 應(yīng)用代碼安全才是真正的Web安全

關(guān)于Web應(yīng)用程序安全性，必須認(rèn)識到的第一件事是不應(yīng)該信任外部數(shù)據(jù)，應(yīng)用代碼安全才是真正的Web安全。外部數(shù)據(jù)（outside data）包括不是由程序員在網(wǎng)站代碼中直接輸入的任何數(shù)據(jù)。在采取措施確保安全之前，來自任何其他來源（比如GET 變量、表單 POST、數(shù)據(jù)庫、配置文件、會話變量或 cookie）的任何數(shù)據(jù)都是不可信任的。在開發(fā)應(yīng)用程序時，嚴(yán)格檢查用戶輸入，注意一些特殊字符：“’”“；”“[”“--””||”等。

例如，在網(wǎng)站每個應(yīng)用代碼中可加一些用戶提交POST過濾：

2.2 轉(zhuǎn)義用戶輸入內(nèi)容

轉(zhuǎn)義最重要的是防止XSS攻擊和SQL注入。對于需要插入的不可信內(nèi)容必須先進(jìn)行轉(zhuǎn)義（尤其對特殊字符、語法符合必須轉(zhuǎn)義或重新編碼）。

例如：用戶提交到網(wǎng)站一段信息，該信息中夾帶了這么一段

2.3 使用參數(shù)化的查詢

參數(shù)化查詢（Parameterized Query 或 Parameterized Statement）是指在設(shè)計(jì)與數(shù)據(jù)庫鏈接并訪問數(shù)據(jù)時，在需要填入數(shù)值或數(shù)據(jù)的地方，使用參數(shù)（Parameter）來給值，這個方法目前已被視為最有效可預(yù)防SQL注入攻擊的防御方式。

要獲得一個參數(shù)化查詢，需要以一種特定的方式來編寫代碼，或它需要滿足一組特定的標(biāo)準(zhǔn)。有兩種不同的方式來創(chuàng)建參數(shù)化查詢。第一個方式是讓查詢優(yōu)化器自動地參數(shù)化查詢。另一個方式是通過以一個特定方式來編寫T-SQL代碼，并將它傳遞給sp_executeSQL系統(tǒng)存儲過程，從而編程一個參數(shù)化查詢。在使用參數(shù)化查詢的情況下，數(shù)據(jù)庫服務(wù)器不會將參數(shù)的內(nèi)容視為SQL指令的一部份來處理，而是在數(shù)據(jù)庫完成SQL指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有指令，也不會被數(shù)據(jù)庫運(yùn)行。Access、SQL Server、MySQL、SQLite等常用數(shù)據(jù)庫都支持參數(shù)化查詢。

3 做好網(wǎng)站服務(wù)程序的安全設(shè)置和升級

其包括最小化SQL權(quán)限，并禁用數(shù)據(jù)庫默認(rèn)帳號，將IIS中WebDAV支持禁用，Apache Cookie設(shè)置為HttpOnly，如使用tomcat，配置可Web.xml如下：

前文提到的S2-032，首先禁用動態(tài)方法調(diào)用，修改Struts2的配置文件，將“struts.enable.DynamicMethodInvocation”的值設(shè)置為false，例如：

此外，當(dāng)下流行.net開發(fā)的網(wǎng)站，在整站總體上可首先對SQL注入做特定過濾配置，其一般包括文件有數(shù)據(jù)驗(yàn)證類parameterCheck.cs文件加過濾、Web.config文件中增加相應(yīng)標(biāo)簽，Global.asax做特定處理，此三文件處理方式網(wǎng)上有很多經(jīng)典案例，這里不在贅述。

4 信息泄漏的防范手段

信息泄漏的防范主要包括，使用防火墻和IDS，用效阻斷黑客的掃描；關(guān)閉不必要的端口和服務(wù)，如刪除windows的默認(rèn)ipc$共享；修改服務(wù)器軟件的版本信息，不使軟件的版本等信息泄漏，刪除服務(wù)軟件的幫助信息等默認(rèn)配置文件，如IIS和Apache默認(rèn)配置文件；設(shè)置網(wǎng)絡(luò)設(shè)備的訪問控制列表，不將網(wǎng)絡(luò)拓?fù)涞让舾行畔⒎诺饺菀椎玫降牡胤剑灰嬖V陌生人任何敏感信息，使用加密的傳輸通道等等。

5 必要的現(xiàn)實(shí)防護(hù)-WEB應(yīng)用防火墻

Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一種設(shè)備。傳統(tǒng)的防火墻是作為訪問控制設(shè)備，主要工作在OSI 模型的三、四層，僅對IP 報(bào)文進(jìn)行檢測。它無需理解Web 應(yīng)用程序語言（如HTML 及XML），也無需理解HTTP 會話。因此，它不可能對HTML 應(yīng)用程序用戶端的輸入進(jìn)行驗(yàn)證，或是不可檢測到一個已經(jīng)被惡意修改過參數(shù)的URL 請求。有一些定位比較綜合、功能比較豐富的防火墻，例如帶有IDS/IPS功能的防火墻雖然彌補(bǔ)了防火墻的某些缺陷，但由于對Web 的檢測粒度不夠細(xì)，隨著網(wǎng)絡(luò)技術(shù)和Web 應(yīng)用的發(fā)展復(fù)雜化，在Web 專用防護(hù)領(lǐng)域也力不從心。

WEB應(yīng)用防火墻 旨在保護(hù)Web 應(yīng)用程序免受常見攻擊的威脅，通過分析應(yīng)用層的流量以發(fā)現(xiàn)任何違法安全策略的安全問題。WEB應(yīng)用防火墻 在網(wǎng)絡(luò)中一般位于傳統(tǒng)防火墻之后，網(wǎng)站服務(wù)器前，用于保護(hù)應(yīng)用服務(wù)器。它提供的功能可能包括服務(wù)器之間的流量負(fù)載均衡、壓縮、加密，HTTP 和HTTPS 流量的反向代理，檢查應(yīng)用程序的一致性和匯聚TCP 會話等。

6 結(jié)束語

再提句網(wǎng)絡(luò)安全上非常客觀舊的話，對于網(wǎng)站安全防護(hù)是：“三分技術(shù)，七分管理”。網(wǎng)站安全上怎么防，技術(shù)手段所占比重還是排在管理之后，必須建立網(wǎng)站安全管理制度，特別是加強(qiáng)對單位內(nèi)從事網(wǎng)站相關(guān)工作人員的管理和建立快速的網(wǎng)站安全事件應(yīng)急響應(yīng)機(jī)制更為重要。

[1]國家互聯(lián)網(wǎng)應(yīng)急中心．我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述，2015．

[2]李學(xué)峰．淺談?wù)T戶網(wǎng)站W(wǎng)EB的防篡改技術(shù)應(yīng)用．計(jì)算機(jī)光盤軟件與應(yīng)用，2011．

[3]劉志光．Web應(yīng)用防火墻技術(shù)分析．情報(bào)探索，2014．

圖1 網(wǎng)絡(luò)訪問控制系統(tǒng)的網(wǎng)絡(luò)拓?fù)?/p>

在本文中主要研究的是中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制系統(tǒng)的設(shè)計(jì)，采用的是SELinux的安全特性，通過安全標(biāo)簽進(jìn)行訪問控制，從而使訪問行為的主體和客體全部變?yōu)榘踩愫瀸傩裕⑵渲苯影l(fā)送到訪問控制系統(tǒng)中，并通過對應(yīng)的訪問控制系統(tǒng)對訪問行為進(jìn)行控制。

首先是系統(tǒng)環(huán)境描述，在本中設(shè)計(jì)的是一個高安全等級的防火墻系統(tǒng)，采用的是集中訪問控制模式，需要對用戶的資源以及系統(tǒng)對訪問行為進(jìn)行控制，保護(hù)用戶的安全新型。對于這一系統(tǒng)，其主要分為三個部分，通過這三個部分的寫作進(jìn)行訪問控制，而不同單元之間采用的是Linux操作系統(tǒng)。對于內(nèi)外網(wǎng)之間的處理單元，其對稱性要求較強(qiáng)，這種模式既能夠?qū)崿F(xiàn)外網(wǎng)的過濾，防止非法訪問請求的發(fā)生，此外，還能夠?qū)?nèi)部用戶的信息等進(jìn)行保護(hù)。

然后是安全標(biāo)簽的提取和傳輸，在本文的訪問控制中采用的是安全標(biāo)簽進(jìn)行傳輸，該系統(tǒng)首先需要有網(wǎng)絡(luò)管理人員對用戶的安全標(biāo)簽進(jìn)行初始化，然后根據(jù)具體的要求進(jìn)行標(biāo)簽的設(shè)置。

4 總結(jié)

隨著社會的發(fā)展，網(wǎng)絡(luò)技術(shù)也在快速發(fā)展，這使得不同部門和領(lǐng)域之間的交流越來越多，傳統(tǒng)的網(wǎng)絡(luò)訪問控制權(quán)限較低，在本文中對中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制進(jìn)行了研究與管理。

參考文獻(xiàn)：

[1]蔣福德，譚彬，鐘誠，歐旭，劉維權(quán)．中小型WLAN網(wǎng)絡(luò)安全防范探討[J]．信息安全與通信保密，2012．

[2]李強(qiáng)．訪問控制列表（ACL）在網(wǎng)絡(luò)安全設(shè)計(jì)中的應(yīng)用[J]．計(jì)算機(jī)與網(wǎng)絡(luò)，2004．