毕设网站防篡改系统老师说我难度不够?

2019-04-25 17:33:56 +08:00
 tail2

我看了 12 年的一个硕士论文, 照着论文大概实现了一下, 只能对本机的网页实现防篡改。

老师给了我三个增加难度的方向。

1.把 watchdog 的源码看懂, 然后把源代码自己实现一遍。

2.在对本机网页防篡改的基础上, 实现对其它服务器的防篡改。

3.处理高并发的情况。

这里面最简单的应该是第二个了, 但是我有个疑问, 我要是对其它服务器上的网页实现防篡改, 我肯定得先用爬虫把人家的网页爬下来做一个备份, 然后不断监测人家的网页是否被篡改, 如果篡改再报警或者恢复。

那我如何恢复别的服务器上的网页呢? 求大佬指点~~~

6031 次点击
所在节点    程序员
27 条回复
udev
2019-04-25 17:46:40 +08:00
本机你是文件驱动过滤么?别人机器如果不装插件( HOOK )是没法恢复的,只能用 WAF 的思路,反向代理,你在中间缓存,做 DOM 节点的防篡改监视以及恢复,发现修改后,直接返回你混存的给访客,以我们生产标准看,其实也不容易了,能写好就是一个产品了。
0ZXYDDu796nVCFxq
2019-04-25 17:53:04 +08:00
@udev @tail2
一直不明白防篡改的原理
不在源站加插件的。假如源站上线了个新版本,加了个 js
那防篡改系统怎么知道我这是正常的修改还是被篡改?
udev
2019-04-25 17:58:22 +08:00
@gstqc 你说的是怎么判定是否修改这个策略,业内都是基于规则的,所以分静态 /动态 /数据库,专业的文件防篡改基本都是驱动级,监视读写动作,然后对比,告警,恢复。
reus
2019-04-25 18:05:16 +08:00
感觉很民科
tail2
2019-04-25 19:05:08 +08:00
@udev 本机我是用 tomcat 的过滤器拦截请求, 然后判断请求的网页是否被篡改, 恢复后再返回网页。
还有遍历文件夹, 循环判断每个文件是否被篡改。
tail2
2019-04-25 19:07:55 +08:00
@gstqc 这个问题老师也问我了, 我没答出来…
tail2
2019-04-25 19:14:18 +08:00
@udev 那我用爬虫爬网页, 然后备份文件和摘要在本机, 然后隔一段时间判断爬取网页和本机的备份比较来判断是否被篡改呢?
singerll
2019-04-25 19:17:58 +08:00
目录遍历也会被定义为一种攻击
tail2
2019-04-25 19:27:56 +08:00
@singerll 大佬有啥思路吗?
0ZXYDDu796nVCFxq
2019-04-25 20:03:21 +08:00
@tail2 #7 肯定不行的,动态网页是没法爬的
tail2
2019-04-25 20:12:35 +08:00
@udev WAF 和网页防篡改系统不是两种产品吗?
singerll
2019-04-25 20:17:12 +08:00
@tail2 我也不怎么了解,原来项目上用过一套防篡改系统,大概就是需要部署客户端,文件的修改需要先修改防篡改策略
tail2
2019-04-25 20:18:00 +08:00
@gstqc 能对静态网页防篡改也行呐
liang7878
2019-04-25 20:28:37 +08:00
你这个思路是有点简单啊,简单的意思是,你说一遍,人家看一遍就懂了,真的太简单了。。想办法搞复杂一点,弄一些 fancy 的名词包装一下。
tail2
2019-04-25 21:15:47 +08:00
@liang7878 看的论文是 12 年的,,, 以前看的论文比较新, 要用服务器底层编程根本不懂,就照着 12 年的做了, 老师说这个放几年前还行
xenme
2019-04-25 21:36:05 +08:00
看到这里还没搞明白。

本机就是个文件监视器?远程怎么监视?
2010
2019-04-25 21:52:03 +08:00
@tail2 md5 值来校验比对?
liang7878
2019-04-26 00:05:54 +08:00
@tail2 #15 这个方法有点 naive,看你怎么包装了,验证的话如果你能够扯上区块链的话可能你们老师会觉得比较牛逼,毕竟目前做验证用区块链显得很有噱头。
autogen
2019-04-26 00:29:14 +08:00
楼主你自己的想法是想做一个抢票 App 吗
rubycedar
2019-04-26 00:37:09 +08:00
楼主可能需要先 getshell 一下

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558685

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX