据国家互联网应急中心监测数据显示,2022年上半年我国境内遭受篡改的网站数量为30706个(其中被篡改的政府网站为166个)。网站篡改事件是主要的Web安全事件,网页内容一旦被篡改,可能会散布涉黄、涉政、涉黑、涉诈、钓鱼等不良及非法信息,直接影响着用户网站体验,破坏政府和企业形象,扰乱社会公共秩序。如何快速准确地实现网页篡改事件的监测和处置成为政府及企事业单位亟待解决的问题。
一、什么是网页篡改
网页篡改,即攻击者故意篡改网络上传送的报文,通过入侵系统篡改数据、劫持网络连接或插入数据等形式进行,其本质是黑客通过注入攻击、文件包含等Web攻击方式,或者植入病毒木马等攻击手法获取网站管理权限,从而对网站内容进行篡改。网页篡改具有传播速度快、传播范围广、事后影响大、事后消除难等特点。
二、常见的网页篡改方式
1、SQL注入后获取Webshell
黑客通过Web应用程序的漏洞,通过SQL语句提交非法的语句到数据库,通过系统以及第三方软件的漏洞获取Web的控制权限或者服务器权限。
2、XSS漏洞引入恶意HTML界面
被动的跨站攻击可以在合法的地方引入非法的HTML或者JS代码,从而让访问者“正常”的改变页面内容。例如:校内网蠕虫。
3、控制Web服务器
攻击者可能通过服务器或者第三方的漏洞,获取了服务器权限、数据库管理权限进而修改页面内容。
三、网页篡改主要防御方法
1、封闭未使用但已经开放的网络服务端口及未使用的服务:服务器在部署实施阶段采用iptables等技术关闭不必要的端口和服务。
2、使用复杂的管理员密码:无论是系统管理员、数据库管理员,还是FTP及网站管理员使用的密码,都需要定期进行弱口令扫描,服务器需要设置密码复杂度防止弱口令的产生。
3、网站程序应设计合理并注意安全代码的编写:在书写代码时,要注意对输入的串进行约束,过滤可能产生攻击的字符串,特殊权限页面要添加身份验证代码。
4、设置合适的网站权限:为网站目录文件和每个网站创建一个专属的访问用户的权限,仅分配只写权限的目录文件,其他均为只读权限。
5、防止欺骗攻击:安装ARP防火墙或者手动绑定网关MAC地址等,针对运营商等大型企业出口核心路由器需配置URPF,防止源地址欺骗。
6、落实网站的日常防护:对网站应用进行定期的渗透测试,定期对网站文件进行全盘Webshell扫描,服务器安全补丁升级到最新版。
四、网页篡改监测方案及效果
避免网页篡改事件发生的关键是事前监测,为了实现对网页篡改安全事件的快速监测和处置,除了在网站开发和运维阶段做好漏洞的监测与及时修复外,还需构建安全可靠的网页监测体系,满足企业安全监管和日常运营需求。主要从以下几点开展建设:
1、站点监测统一管理
采用高性能监测框架,对站点及监测任务统一智能管理,提升站点管理效率,便于查看站点监测数据信息,及时发现网站异常变化。
2、轻量数据处理框架
采用轻量化的大数据处理框架,依托分布式爬虫引擎实现页面数据的汇总,并进行一定的归并和告警压制处理,自定义设置数据采集参数,满足不同的监测需求。
3、监测结果多维研判
在获取页面图片、文字、CSS等元素后,依托AI分析引擎,引入神经网络,语义分析、恶意图片识别、OCR识别等分析算法,智能分析篡改告警的置信度,提高篡改监测告警准确率。
4、篡改事件自动处置
篡改告警经过AI算法的多维研判后,形成不同等级的安全事件,并流转至处置流程,通过设定可编排的安全应急响应策略,实现网页篡改安全事件的页面级自动化处置。
5、篡改监测能力开放
网页篡改监测通过开放对外API接口,实现在云场景下篡改监测安全能力开放,帮助企业用户轻松构建安全、可靠的网站篡改监测能力,实现网页篡改的快速监测与处置。同时可为建设方创造安全增量价值。
五、总结
网页篡改监测与处置是网络安全领域重点关注的问题,从应用提供方角度看,需要加强站点自身安全建设,及时发现网站自身漏洞、木马等安全风险并进行彻底根除。从监管和运营角度看,需做好安全网站的常态化监测和应急响应。
1374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
