SANGFOR_NGAF_V6.6_2016年度渠道高級認(rèn)證培訓(xùn)03_網(wǎng)頁防篡改1.0

1、SANGFOR NGAF 網(wǎng)頁防篡改1.0培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF網(wǎng)頁防篡改2.0掌握網(wǎng)頁防篡改1.0測試方法了解網(wǎng)頁防篡改1.0排錯及常見問題網(wǎng)頁防篡改1.0測試深信服公司簡介網(wǎng)頁防篡改1.0排錯及常見問題SANGFOR NGAF1.1網(wǎng)頁防篡改1.0測試1.2網(wǎng)頁防篡改1.0排錯及常見問題NGAF 網(wǎng)頁防篡改1.0 自2003年CNCERT便開始每日對中國大陸地區(qū)網(wǎng)站被篡改情況進行跟蹤監(jiān)測，在發(fā)現(xiàn)被篡改網(wǎng)站后及時通知網(wǎng)站所在省份的分中心協(xié)助解決，爭取被篡改網(wǎng)站快速恢復(fù)。以2011年為例，中國大陸地區(qū)被篡改網(wǎng)站各月累計為36612個，與2010年的34858個相比略增5.1%。另外最新201

2、2年11月第23期的CNCERT互聯(lián)網(wǎng)安全威脅報告數(shù)據(jù)如下：NGAF防篡改保存的本地緩存不能用來恢復(fù)被篡改的web服務(wù)器頁面；服務(wù)器被篡改，如果繞過NGAF，還是會訪問到被篡改的頁面。1.1 網(wǎng)頁防篡改1.0測試網(wǎng)頁防篡改1.0測試步驟如下：1、搭建網(wǎng)絡(luò)拓?fù)洌?、配置AF防篡改模塊；3、圖片篡改還原；4、精確匹配-非圖片篡改重定向；5、模糊匹配-網(wǎng)頁整體篡改重定向；6、模糊匹配-網(wǎng)站內(nèi)網(wǎng)更新不判斷篡改；7、模糊匹配-添加黑鏈判斷篡改不重定向。1、搭建網(wǎng)絡(luò)拓?fù)?此處以NGAF網(wǎng)關(guān)部署為例，地址轉(zhuǎn)換配置服務(wù)器上網(wǎng)的代理上網(wǎng)SNAT規(guī)則，配置服務(wù)器發(fā)布的DNAT規(guī)則，映射TCP 7

3、0:80至00:80，配置服務(wù)器管理的DNAT規(guī)則，映射TCP 70:22至00:22。應(yīng)用控制策略配置為簡化實驗，所有區(qū)域全部放通2、配置AF防篡改模塊 配置精確配置，深度5，檢測資源文件篡改，網(wǎng)站篡改后-阻止用戶訪問-顯示提示頁面，記錄日志。注意：注意：1 1、若網(wǎng)站必須使用域名才能正常訪問，則起始、若網(wǎng)站必須使用域名才能正常訪問，則起始URLURL必須必須配置域名，其他情況下配置為服務(wù)器的真實配置域名，其他情況下配置為服務(wù)器的真實IPIP即可即可2 2、DNATDNAT發(fā)布的服務(wù)器，起始發(fā)布的服務(wù)器，起始URLURL若填寫若填寫I

4、PIP，則填寫內(nèi)網(wǎng)，則填寫內(nèi)網(wǎng)真實真實IPIP，不填寫發(fā)布后的公網(wǎng)，不填寫發(fā)布后的公網(wǎng)IPIP配置完成后可以看到抓取了33個緩存頁面。3、圖片篡改還原訪問網(wǎng)站首頁上方大圖為：70/images/header.jpg。刪除header.jpg并上傳一張本地篡改后的header.jpg，清空瀏覽器緩存，并再次訪問網(wǎng)站，可見網(wǎng)頁并未被篡改，查看NGAF控制臺，發(fā)現(xiàn)有篡改提示，點擊“篡改網(wǎng)頁”，可以看到是/images/header.jpg被篡改，說明防篡改作用生效。4、精確匹配-非圖片篡改重定向網(wǎng)站首頁為index.php，下載index.php，篡改后上傳至目錄，篡改

5、內(nèi)容為更改欄目名稱為Hacked By Helen。篡改前內(nèi)容篡改后內(nèi)容清空瀏覽器緩存，并再次訪問網(wǎng)頁，發(fā)現(xiàn)網(wǎng)頁被重定向登陸設(shè)備控制臺和數(shù)據(jù)中心查看篡改記錄上傳原始網(wǎng)頁index.php修復(fù)，并重新瀏覽網(wǎng)頁，建議多刷幾次，并查看NGAF控制臺，可見保護狀態(tài)恢復(fù)正常5、模糊匹配-網(wǎng)頁整體篡改重定向更改防篡改保護配置為模糊匹配-高，并勾選“檢測資源文件篡改”，“檢測黑鏈”網(wǎng)站首頁為index.php，SSH下載/var/www/index.php，篡改后上傳至/var/www目錄，篡改內(nèi)容為更改網(wǎng)站標(biāo)題修改title內(nèi)容為Hacked By Helen，更改網(wǎng)站body內(nèi)容為Hacked By H

6、elen。竄改前：上傳篡改后頁面：清空瀏覽器緩存，并再次訪問網(wǎng)頁，發(fā)現(xiàn)網(wǎng)頁被重定向，防篡改生效篡改恢復(fù)步驟同4，此處略6、模糊匹配-網(wǎng)站內(nèi)網(wǎng)更新不判斷篡改通過SSH上傳更改過欄目標(biāo)題的index.php，更改內(nèi)容為將“辦事服務(wù)”標(biāo)題變更為“便民服務(wù)”清空瀏覽器緩存，并再次訪問網(wǎng)頁，發(fā)現(xiàn)網(wǎng)頁編輯后內(nèi)容可以正常瀏覽,登陸NGAF控制臺，無篡改警告。7、模糊匹配-添加黑鏈判斷篡改不重定向通過上傳被篡改的index.php，篡改內(nèi)容為添加的黑鏈篡改前篡改后清空瀏覽器緩存，并再次訪問網(wǎng)頁，發(fā)現(xiàn)網(wǎng)頁無明顯變化，登陸NGAF控制臺，看到有篡改事件并有篡改日志篡改恢復(fù)過程略1.2 網(wǎng)頁防篡改1.0排錯及常見問

7、題常見的防篡改問題有如下兩種1、防篡改狀態(tài)顯示“故障”；2、網(wǎng)頁防篡改無效。1、防篡改狀態(tài)顯示“故障”；說明： 故障如上圖所示，出現(xiàn)此提示的原因為NGAF無法訪問被防護的服務(wù)器，無法獲取網(wǎng)站緩存，從而導(dǎo)致提示故障。 由于部署在特殊環(huán)境，比如vlan環(huán)境中，錯誤的部署方法導(dǎo)致不通的，確認(rèn)好客戶網(wǎng)絡(luò)環(huán)境拓?fù)洌瑓⒖肌?013年度渠道初級認(rèn)證培訓(xùn)03_常見網(wǎng)絡(luò)環(huán)境部署”。 另外還有路由或中間網(wǎng)絡(luò)設(shè)備策略攔截導(dǎo)致的情況。 通常出現(xiàn)在2.2及之前版本虛擬網(wǎng)線部署場景中的錯誤部署模式，此時升級2.2R1及更高版本。網(wǎng)橋部署不使用橋IP時也易造成同樣的錯誤，更改部署模式即可。2.2版本及之前版本的錯誤部署模式

8、在2.2R1版本以后的不管是哪個部署模式都OK2、網(wǎng)頁防篡改無效 路由模式部署并DNAT發(fā)布服務(wù)器，服務(wù)器的url配置為外網(wǎng)IP，而域名IP對應(yīng)關(guān)系中，又配置外網(wǎng)IP對應(yīng)內(nèi)網(wǎng)服務(wù)器真實IP時可能出現(xiàn)。故路由模式DNAT發(fā)布服務(wù)器場景下，請務(wù)必配置服務(wù)器URL和IP對應(yīng)關(guān)系都為內(nèi)網(wǎng)IP。除此之后，如果防篡改無效，還需確認(rèn)檢測方法為什么？模糊匹配對于從網(wǎng)頁中提取title、meta等標(biāo)簽進行對比，若是修改其他內(nèi)容則不做判定，因此對于客戶有嚴(yán)格需求的環(huán)境下，建議修改為精確匹配。4.虛擬網(wǎng)線下防護不生效設(shè)備虛擬網(wǎng)線部署或網(wǎng)橋部署，防護不生效了，怎么回事？因為AF需要通過爬蟲訪問到防護網(wǎng)站，沒有配置管理

9、口IP，所以不能正常的防護。5.篡改圖片后，默認(rèn)不是還原網(wǎng)站么？AF的圖片篡改測試，并沒有還原為原來的網(wǎng)站，而是直接顯示維護頁面了,為什么？答復(fù)：改的是圖片的引用代碼，這就不是篡改圖片了，應(yīng)改變圖片本身內(nèi)容，而不改變圖片的文件名。如圖片的引用代碼為：正確的測試方法為改4ec69e8105239.png的圖片內(nèi)容，如從兔子照片變成老虎照片，但是文件名不變。錯誤的測試方法為改代碼為：，并放一個新的NGAFtest.png的圖片到服務(wù)器上6.被防護的網(wǎng)站緩存怎么這么少？2.網(wǎng)頁防護http:/ ，緩存才3個，太少了，不正常。原因是：填寫的網(wǎng)頁是首頁跳轉(zhuǎn)的，從http:/ 問題思考防篡改狀態(tài)顯示故障的可能性？圖片被篡改后為什么不還原？人有了知識，就會具備各種分析能力，明辨是非的