web页面防篡改有哪些比较实用的工具?希望大家能推荐
兄弟,不多说了,我直接上实例了,好不好自己看。
一些用户为了提高网站的PR值通常会在访问量较高的网站中隐藏自己的链接,并且将链接做的非常隐蔽,在短时间内不易被搜索引擎察觉。而黑客往往会通过各种手段获得网站管理员账号,然后登录网站后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。
“网页防篡改”功能通过内核加固技术保护网站目录及文件不被修改;甚至即使被获取了权限上传了Webshell也无法对网站的文件进行修改。
开启“网页防篡改”功能,添加受保护的路径,可以根据网站文件实际情况选择是否运行创建和删除文件。用户可以根据自己的实际情况选择保护网站目录或文件。下面的例子是将c57x86.zblog.com站的根目录添加为保护目录。
添加受保护路径
通过FTP向保护的目录下上传Webshell,会被阻止上传。
在防护日志—系统防护日志可以看到创建文件失败的日志。(FTP上传文件失败日志)
为了验证保护效果,我们假设网站已被获取管理权限并被上传了Webshell,通过Webshell修改首页文件index.php。
Webshell修改首页文件
提示修改失败
通过防护日志—系统防护日志可以看到修改文件失败的日志。
因业务需要修改文件或上传文件时,可将其路径添加为例外路径,则不受规则保护,可随时在该路径下创建修改文件。
当然云锁对于Webshell的防护是多个层级进行的,假设被黑客将webshell传到了服务器上,也会在访问时被“网页浏览实时防护”拦截。而且在巡检时也会被检测到进行修复。