SANGFOR_NGAF_V66_2016年度渠道高級(jí)認(rèn)證培訓(xùn)03_網(wǎng)頁(yè)防篡改10_第1頁(yè)
SANGFOR_NGAF_V66_2016年度渠道高級(jí)認(rèn)證培訓(xùn)03_網(wǎng)頁(yè)防篡改10_第2頁(yè)
SANGFOR_NGAF_V66_2016年度渠道高級(jí)認(rèn)證培訓(xùn)03_網(wǎng)頁(yè)防篡改10_第3頁(yè)
SANGFOR_NGAF_V66_2016年度渠道高級(jí)認(rèn)證培訓(xùn)03_網(wǎng)頁(yè)防篡改10_第4頁(yè)
SANGFOR_NGAF_V66_2016年度渠道高級(jí)認(rèn)證培訓(xùn)03_網(wǎng)頁(yè)防篡改10_第5頁(yè)
已閱讀5頁(yè),還剩24頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、SANGFOR NGAF 網(wǎng)頁(yè)防篡改1.0培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF網(wǎng)頁(yè)防篡改2.0掌握網(wǎng)頁(yè)防篡改1.0測(cè)試方法了解網(wǎng)頁(yè)防篡改1.0排錯(cuò)及常見(jiàn)問(wèn)題網(wǎng)頁(yè)防篡改1.0測(cè)試深信服公司簡(jiǎn)介網(wǎng)頁(yè)防篡改1.0排錯(cuò)及常見(jiàn)問(wèn)題SANGFOR NGAF1.1網(wǎng)頁(yè)防篡改1.0測(cè)試1.2網(wǎng)頁(yè)防篡改1.0排錯(cuò)及常見(jiàn)問(wèn)題NGAF 網(wǎng)頁(yè)防篡改1.0 自2003年CNCERT便開(kāi)始每日對(duì)中國(guó)大陸地區(qū)網(wǎng)站被篡改情況進(jìn)行跟蹤監(jiān)測(cè),在發(fā)現(xiàn)被篡改網(wǎng)站后及時(shí)通知網(wǎng)站所在省份的分中心協(xié)助解決,爭(zhēng)取被篡改網(wǎng)站快速恢復(fù)。以2011年為例,中國(guó)大陸地區(qū)被篡改網(wǎng)站各月累計(jì)為36612個(gè),與2010年的34858個(gè)相比略增5.1%。另外最新201

2、2年11月第23期的CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告數(shù)據(jù)如下:NGAF防篡改保存的本地緩存不能用來(lái)恢復(fù)被篡改的web服務(wù)器頁(yè)面;服務(wù)器被篡改,如果繞過(guò)NGAF,還是會(huì)訪問(wèn)到被篡改的頁(yè)面。1.1 網(wǎng)頁(yè)防篡改1.0測(cè)試網(wǎng)頁(yè)防篡改1.0測(cè)試步驟如下:1、搭建網(wǎng)絡(luò)拓?fù)洌?、配置AF防篡改模塊;3、圖片篡改還原;4、精確匹配-非圖片篡改重定向;5、模糊匹配-網(wǎng)頁(yè)整體篡改重定向;6、模糊匹配-網(wǎng)站內(nèi)網(wǎng)更新不判斷篡改;7、模糊匹配-添加黑鏈判斷篡改不重定向。1、搭建網(wǎng)絡(luò)拓?fù)?此處以NGAF網(wǎng)關(guān)部署為例,地址轉(zhuǎn)換配置服務(wù)器上網(wǎng)的代理上網(wǎng)SNAT規(guī)則,配置服務(wù)器發(fā)布的DNAT規(guī)則,映射TCP 7

3、0:80至00:80,配置服務(wù)器管理的DNAT規(guī)則,映射TCP 70:22至00:22。應(yīng)用控制策略配置為簡(jiǎn)化實(shí)驗(yàn),所有區(qū)域全部放通2、配置AF防篡改模塊 配置精確配置,深度5,檢測(cè)資源文件篡改,網(wǎng)站篡改后-阻止用戶訪問(wèn)-顯示提示頁(yè)面,記錄日志。注意:注意:1 1、若網(wǎng)站必須使用域名才能正常訪問(wèn),則起始、若網(wǎng)站必須使用域名才能正常訪問(wèn),則起始URLURL必須必須配置域名,其他情況下配置為服務(wù)器的真實(shí)配置域名,其他情況下配置為服務(wù)器的真實(shí)IPIP即可即可2 2、DNATDNAT發(fā)布的服務(wù)器,起始發(fā)布的服務(wù)器,起始URLURL若填寫(xiě)若填寫(xiě)I

4、PIP,則填寫(xiě)內(nèi)網(wǎng),則填寫(xiě)內(nèi)網(wǎng)真實(shí)真實(shí)IPIP,不填寫(xiě)發(fā)布后的公網(wǎng),不填寫(xiě)發(fā)布后的公網(wǎng)IPIP配置完成后可以看到抓取了33個(gè)緩存頁(yè)面。3、圖片篡改還原訪問(wèn)網(wǎng)站首頁(yè)上方大圖為:70/images/header.jpg。刪除header.jpg并上傳一張本地篡改后的header.jpg,清空瀏覽器緩存,并再次訪問(wèn)網(wǎng)站,可見(jiàn)網(wǎng)頁(yè)并未被篡改,查看NGAF控制臺(tái),發(fā)現(xiàn)有篡改提示,點(diǎn)擊“篡改網(wǎng)頁(yè)”,可以看到是/images/header.jpg被篡改,說(shuō)明防篡改作用生效。4、精確匹配-非圖片篡改重定向網(wǎng)站首頁(yè)為index.php,下載index.php,篡改后上傳至目錄,篡改

5、內(nèi)容為更改欄目名稱(chēng)為Hacked By Helen。篡改前內(nèi)容篡改后內(nèi)容清空瀏覽器緩存,并再次訪問(wèn)網(wǎng)頁(yè),發(fā)現(xiàn)網(wǎng)頁(yè)被重定向登陸設(shè)備控制臺(tái)和數(shù)據(jù)中心查看篡改記錄上傳原始網(wǎng)頁(yè)index.php修復(fù),并重新瀏覽網(wǎng)頁(yè),建議多刷幾次,并查看NGAF控制臺(tái),可見(jiàn)保護(hù)狀態(tài)恢復(fù)正常5、模糊匹配-網(wǎng)頁(yè)整體篡改重定向更改防篡改保護(hù)配置為模糊匹配-高,并勾選“檢測(cè)資源文件篡改”,“檢測(cè)黑鏈”網(wǎng)站首頁(yè)為index.php,SSH下載/var/www/index.php,篡改后上傳至/var/www目錄,篡改內(nèi)容為更改網(wǎng)站標(biāo)題修改title內(nèi)容為Hacked By Helen,更改網(wǎng)站body內(nèi)容為Hacked By H

6、elen。竄改前:上傳篡改后頁(yè)面:清空瀏覽器緩存,并再次訪問(wèn)網(wǎng)頁(yè),發(fā)現(xiàn)網(wǎng)頁(yè)被重定向,防篡改生效篡改恢復(fù)步驟同4,此處略6、模糊匹配-網(wǎng)站內(nèi)網(wǎng)更新不判斷篡改通過(guò)SSH上傳更改過(guò)欄目標(biāo)題的index.php,更改內(nèi)容為將“辦事服務(wù)”標(biāo)題變更為“便民服務(wù)”清空瀏覽器緩存,并再次訪問(wèn)網(wǎng)頁(yè),發(fā)現(xiàn)網(wǎng)頁(yè)編輯后內(nèi)容可以正常瀏覽,登陸NGAF控制臺(tái),無(wú)篡改警告。7、模糊匹配-添加黑鏈判斷篡改不重定向通過(guò)上傳被篡改的index.php,篡改內(nèi)容為添加的黑鏈篡改前篡改后清空瀏覽器緩存,并再次訪問(wèn)網(wǎng)頁(yè),發(fā)現(xiàn)網(wǎng)頁(yè)無(wú)明顯變化,登陸NGAF控制臺(tái),看到有篡改事件并有篡改日志篡改恢復(fù)過(guò)程略1.2 網(wǎng)頁(yè)防篡改1.0排錯(cuò)及常見(jiàn)問(wèn)

7、題常見(jiàn)的防篡改問(wèn)題有如下兩種1、防篡改狀態(tài)顯示“故障”;2、網(wǎng)頁(yè)防篡改無(wú)效。1、防篡改狀態(tài)顯示“故障”;說(shuō)明: 故障如上圖所示,出現(xiàn)此提示的原因?yàn)镹GAF無(wú)法訪問(wèn)被防護(hù)的服務(wù)器,無(wú)法獲取網(wǎng)站緩存,從而導(dǎo)致提示故障。 由于部署在特殊環(huán)境,比如vlan環(huán)境中,錯(cuò)誤的部署方法導(dǎo)致不通的,確認(rèn)好客戶網(wǎng)絡(luò)環(huán)境拓?fù)?,參考?013年度渠道初級(jí)認(rèn)證培訓(xùn)03_常見(jiàn)網(wǎng)絡(luò)環(huán)境部署”。 另外還有路由或中間網(wǎng)絡(luò)設(shè)備策略攔截導(dǎo)致的情況。 通常出現(xiàn)在2.2及之前版本虛擬網(wǎng)線部署場(chǎng)景中的錯(cuò)誤部署模式,此時(shí)升級(jí)2.2R1及更高版本。網(wǎng)橋部署不使用橋IP時(shí)也易造成同樣的錯(cuò)誤,更改部署模式即可。2.2版本及之前版本的錯(cuò)誤部署模式

8、在2.2R1版本以后的不管是哪個(gè)部署模式都OK2、網(wǎng)頁(yè)防篡改無(wú)效 路由模式部署并DNAT發(fā)布服務(wù)器,服務(wù)器的url配置為外網(wǎng)IP,而域名IP對(duì)應(yīng)關(guān)系中,又配置外網(wǎng)IP對(duì)應(yīng)內(nèi)網(wǎng)服務(wù)器真實(shí)IP時(shí)可能出現(xiàn)。故路由模式DNAT發(fā)布服務(wù)器場(chǎng)景下,請(qǐng)務(wù)必配置服務(wù)器URL和IP對(duì)應(yīng)關(guān)系都為內(nèi)網(wǎng)IP。除此之后,如果防篡改無(wú)效,還需確認(rèn)檢測(cè)方法為什么?模糊匹配對(duì)于從網(wǎng)頁(yè)中提取title、meta等標(biāo)簽進(jìn)行對(duì)比,若是修改其他內(nèi)容則不做判定,因此對(duì)于客戶有嚴(yán)格需求的環(huán)境下,建議修改為精確匹配。4.虛擬網(wǎng)線下防護(hù)不生效設(shè)備虛擬網(wǎng)線部署或網(wǎng)橋部署,防護(hù)不生效了,怎么回事?因?yàn)锳F需要通過(guò)爬蟲(chóng)訪問(wèn)到防護(hù)網(wǎng)站,沒(méi)有配置管理口IP,所以不能正常的防護(hù)。5.篡改圖片后,默認(rèn)不是還原網(wǎng)站么?AF的圖片篡改測(cè)試,并沒(méi)有還原為原來(lái)的網(wǎng)站,而是直接顯示維護(hù)頁(yè)面了,為什么?答復(fù):改的是圖片的引用代碼,這就不是篡改圖片了,應(yīng)改變圖片本身內(nèi)容,而不改變圖片的文件名。如圖片的引用代碼為:正確的測(cè)試方法為改4ec69e8105239.png的圖片內(nèi)容,如從兔子照片變成老虎照片,但是文件名不變。錯(cuò)誤的測(cè)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論