网页防篡改技术详解（上）

本文将详细介绍网页防篡改技术，从为什么需要网页防篡改，到网页篡改的攻击手段，再到目前网页篡改防护的三种方式外挂轮询技术、核心内嵌技术、事件触发技术的详细讲解。

为什么需要网页防篡改

随着网站承载业务的不断增多，网站的规模越来越庞大，服务器上安装的应用越来越多，网站架构也变得越来越复杂。随之而来的就是网站威胁暴露面的不断增多，导致网站面临的安全风险也随之上升。另外一方面，网络攻击手段不断升级，攻击工具不断自动化、服务化，使得实施攻击成本不断降低，网络攻击泛滥。网站作为当今网络业务的重要承载者，是攻击的首要目标。网站安全整体形势不容乐观。
中国互联网络信息中心（CNNIC）统计的数据显示：截至2019年6月，中国的域名总量达到4800万个，其.CN域名已有2185万个较2018年底增长2.9%，占我国域名总数的45.5%。
然而，据统计[ 《The State of Web Application Vulnerabilities in 2018》,Incapsula]，全球范围内有高达75%的网站都不同程度的存在漏洞。而有54%的Web相关的漏洞有公开的Exploit，有38%的Web漏洞当前无解决方案（补丁或升级）。这意味着，有大量自动化漏洞利用工具供黑客使用来对网站发起高效、精准的攻击。

网页被篡改的原因是多方面的。一方面，操作系统和应用的复杂性导致系统和应用漏洞的层出不穷；传统网络防火墙产品工作在三、四层，缺乏对应用层的理解，很难过滤此类攻击。另外一方面