freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一个话痨篡改请求的自白
2019-09-30 10:07:53

cdf7a8fd1e91803a21901e5e09a819fd

我叫网页篡改请求


我是一个网页篡改请求,

我的目标是篡改web站点的网页。

 

以前,篡改网页是件很爽的事,

因为web站点一般都没有防护;

 

但是网页防篡改技术流行之后,

我们的工作受到了巨大的影响。

 

在和防篡改技术斗争的日子里,

有不少战役很值得仔细回味……


定时循环扫描技术

最初的篡改防护方式叫做定时循环扫描。还记得当年,我进入了一个web服务器,看到一个拿着光*和盾牌的防护机器人,它在web服务器站点里跑来跑去,像老牛在耕地。

它把站点的每个地方都和自己的原始文件作对比;发现有被修改的痕迹,就用光*把修改擦去。它勤劳又努力。

我把看着不顺眼的几个文件做了修改。这时候防护机器人老哥恰好赶了过来,又把我的改动擦掉了。真是烦啊!

不过功夫不负有心人,在光*老哥刚走之后,我又把网页修改了一下。老哥来不及赶回来,于是,这个网站的主页面就变成了“篡改请求到此一游”。

事件触发技术

事件触发技术是曾经的防篡改主流技术之一。我顺着网线又潜入了一个服务器。我发现这个服务器里防护机器人正在睡大觉,这就不要怪兄弟我了,大显身手的时候到了。

我把眼前的一个文件改掉。忽然,防护机器人像幻影一样出现,不仅用光*修补了篡改,还对我发出怒吼。原来这个防护系统原理是监控网站目录,如果目录中有篡改发生,监控程序就能得到系统通知事件;随后程序根据相关规则判定是否是非法篡改;如果是非法篡改就立即给予恢复。

我又修改了几个文件,幻影机器人每次都把它恢复。这可怎么办?我转念一想,那就来比谁的速度快吧。我就不停地篡改同一个文件,果然,监控程序得到系统通知后,再通知到机器人,这需要一个过程,于是,我的“篡改请求再到此一游”又成功了。

核心内嵌(数字水印)技术

核心内嵌技术,也叫数字水印技术,是目前的主流防篡改技术之一。这个技术很!强!大!

当年我潜入一台数字水印技术的防篡改web服务器后,可是让我头疼了好长时间,因为这个技术它是在文件的出口处做检查,这样我在web服务器里辛勤“劳动”都打水漂了。这个系统对每一个流出的网页进行数字水印(也就是HASH散列)检查,如果发现当前水印和之前记录的水印不同,则可断定该文件被篡改,会阻止其继续流出,并传唤恢复程序进行恢复。

我当时看到,在web服务器的文件出口处,一个戴眼镜的机器人在不停地做着检查。我修改的几个文件,到达出口的时候,被这个机器人发现有异常,然后它用正确的文件替换了被修改的文件,无奈啊~

我当年险些就败给了这个系统。当时我很生气,于是就改了很多个文件,之后我惊奇地发现,一旦遇到很大的文件,这个系统就会跳过去,看来他们的检查是很消耗性能的。于是我专挑大文件修改,最后终于攻破了它。

文件过滤驱动技术

文件过滤驱动技术是近年来比较流行的一种新兴防篡改技术。

我潜入这个web系统时,是爬了好长时间的网线才到达的。这个web系统看起来平平无奇,也没有稀奇古怪的守护机器人。但是当我拿起锤子要破坏文件时,锤子敲到文件上就是不听使唤,文件完好如初。怎么回事?原来这个系统就像有一个巨大的磁场(文件驱动),我们的工具到了这个磁场里就必须遵守一定的规则,比如不能砸坏一些文件。

文件过滤驱动技术,其原理是采用操作系统底层文件过滤驱动技术,拦截与分析 IRP 流,对所有受保护的网站目录的写操作都立即截断,与“事件触发技术”的“后发制人”相反,该技术是典型的“先发制人”,在篡改写入文件之前就进行了阻止。

到目前为止,对于这个技术我还没有找到对策……但我不会就此罢休,就像防篡改技术在不断变强一样,我们的战斗还在继续。​​​​

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者