CN103067385A - 防御会话劫持攻击的方法和防火墙 - Google Patents

防御会话劫持攻击的方法和防火墙 Download PDF

Info

Publication number
CN103067385A
CN103067385A CN2012105795379A CN201210579537A CN103067385A CN 103067385 A CN103067385 A CN 103067385A CN 2012105795379 A CN2012105795379 A CN 2012105795379A CN 201210579537 A CN201210579537 A CN 201210579537A CN 103067385 A CN103067385 A CN 103067385A
Authority
CN
China
Prior art keywords
authentication token
access request
client
response
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012105795379A
Other languages
English (en)
Other versions
CN103067385B (zh
Inventor
王朋涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Electronic Technology Co Ltd filed Critical Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority to CN201210579537.9A priority Critical patent/CN103067385B/zh
Publication of CN103067385A publication Critical patent/CN103067385A/zh
Priority to US14/086,983 priority patent/US9112828B2/en
Application granted granted Critical
Publication of CN103067385B publication Critical patent/CN103067385B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种防御会话劫持攻击的方法和防火墙,其方法包括:接收合法客户端发送的第一访问请求,并将所述第一访问请求发送至服务器;接收所述服务器返回的第一响应,所述第一响应中包括第一认证令牌;根据所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值,将所述第一认证令牌和第一序列值重组为第二认证令牌;将所述第一响应中的第一认证令牌替换为所述第二认证令牌,并将包含所述第二认证令牌的所述第一响应发送至所述合法客户端。本发明采用了客户端身份验证机制,避免非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。

Description

防御会话劫持攻击的方法和防火墙
技术领域
本发明涉及到网络通信技术领域,特别涉及到防御会话劫持攻击的方法和防火墙。
背景技术
HTTP协议是无状态的,其本身没有将用户提出的各种请求/响应联系起来的机制,每一对请求/响应都是独立的事务。实现有状态的HTTP,WEB应用程序需要与用户动态交互,维护与合法客户端的交互状态数据,这种动态交互过程就是会话。首先把这些状态数据传送到合法客户端存储,然后随合法客户端提交的请求返回进行验证。这种状态保存机制前提需要合法客户端是可信的,能够保证传送的状态数据的完整性和机密性。但在实际的应用中,攻击者可以利用会话劫持漏洞窃取状态信息,达到冒充其他可信用户的非法访问。当用户在登录认证过程中,输入用户名与密码通过验证后,应用程序向合法客户端返回一状态信息,该状态信息随用户的下次请求返回,应用程序根据这段信息来验证用户身份并返回正确的响应页面,如果这段信息被攻击者通过某种方式劫持,攻击者就可以绕过授权,冒充其他用户进行非法访问,劫持这段信息的过程就是会话劫持。会话劫持攻击有10多种方法,常见有XSS(又称为CSS,Cross Site Script,跨站脚本攻击)会话劫持、CSRF(Cross-site request forgery,跨站请求伪造)、固定会话攻击、会话令牌猜解、会话令牌蛮力、日志泄露令牌等等,目前应用层防火墙的实现主要是针对其中某一种方法进行防御,如XSS基于特征、CSRF基于令牌,但是,基于特征进行防御属于被动防御,无法做到事前防御,且容易出现误报和漏报;基于令牌的防御存在单一性和时间依赖性缺陷。此外,只防御其中某种攻击,通过其他攻击还是可以劫持会话,如果发现新的会话攻击也无法防御。
发明内容
本发明的主要目的为提供一种全面、有效的防御会话劫持攻击的方法和防火墙。
本发明提出一种防御会话劫持攻击的方法,包括步骤:
接收合法客户端发送的第一访问请求,并将所述第一访问请求发送至服务器;
接收所述服务器返回的第一响应,所述第一响应中包括第一认证令牌;
根据所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值,将所述第一认证令牌和第一序列值重组为第二认证令牌;
将所述第一响应中的第一认证令牌替换为所述第二认证令牌,并将包含所述第二认证令牌的所述第一响应发送至所述合法客户端。
优选地,所述将包含所述第二认证令牌的所述第一响应发送至所述合法客户端的步骤之后还包括:
接收当前客户端发送的第二访问请求,所述第二访问请求中包括第二认证令牌;
从所述第二认证令牌中分离出所述第一认证令牌和第一序列值;
根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
当所述第二序列值与所述第一序列值相同时,确定当前客户端为所述合法客户端;
将所述第二访问请求中的第二认证令牌替换为所述第一认证令牌;
将包含所述第一认证令牌的所述第二访问请求发送至所述服务器,供所述服务器验证所述第一认证令牌和响应所述第二访问请求。
优选地,所述根据合法客户端的网络地址和所述合法客户端的标识码,生成第一序列值的步骤具体包括:
采用随机串和散列算法,将所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值。
优选地,所述根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值的步骤具体包括:
采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
优选地,所述接收合法客户端发送的第一访问请求的步骤之前还包括:
在所述服务器中查找一个依赖令牌访问的页面;
在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;
获取各个所述Cookie数据和Set-Cookie数据的键值对;
根据各个所述键值对及其组合,分别生成对应的第三访问请求;
分别采用各个所述第三访问请求,访问所述页面;
接收所述页面返回的对应于各个所述第三访问请求的第三响应;
当所述第三响应有效时,有效的所述第三响应对应的键值对为所述第一认证令牌存放的位置。
本发明还提出一种防御会话劫持攻击的防火墙,包括:
收发模块,用于接收合法客户端发送的第一访问请求,并将所述第一访问请求发送至服务器;接收所述服务器返回的第一响应,所述第一响应中包括第一认证令牌;
重组模块,用于根据所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值,将所述第一认证令牌和第一序列值重组为第二认证令牌;
替换模块,用于将所述第一响应中的第一认证令牌替换为所述第二认证令牌;
所述收发模块还用于,将包含所述第二认证令牌的所述第一响应发送至所述合法客户端。
优选地,所述防御会话劫持攻击的防火墙,还包括判断模块;
所述收发模块还用于,接收当前客户端发送的第二访问请求,所述第二访问请求中包括第二认证令牌;
所述重组模块还用于,从所述第二认证令牌中分离出所述第一认证令牌和第一序列值;根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
所述判断模块用于,当所述第二序列值与所述第一序列值相同时,确定当前客户端为所述合法客户端;
所述替换模块还用于,将所述第二访问请求中的第二认证令牌替换为所述第一认证令牌;
所述收发模块还用于,将包含所述第一认证令牌的所述第二访问请求发送至所述服务器,供所述服务器验证所述第一认证令牌和响应所述第二访问请求。
优选地,所述重组模块具体用于:
采用随机串和散列算法,将所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值。
优选地,所述重组模块具体还用于:
采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
优选地,所述防御会话劫持攻击的防火墙,还包括查找模块;
所述查找模块用于,在所述服务器中查找一个依赖令牌访问的页面;
所述重组模块具体还用于,在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;获取各个所述Cookie数据和Set-Cookie数据的键值对;根据各个所述键值对及其组合,分别生成对应的第三访问请求;
所述收发模块还用于,分别采用各个所述第三访问请求,访问所述页面;接收所述页面返回的对应于各个所述第三访问请求的第三响应;
所述判断模块用于,当所述第三响应有效时,有效的所述第三响应对应的键值对为所述第一认证令牌存放的位置。
本发明采用了客户端身份验证机制,避免非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。
附图说明
图1为本发明防御会话劫持攻击的方法的第一实施例的流程图;
图2为本发明防御会话劫持攻击的方法的第二实施例的流程图;
图3为本发明防御会话劫持攻击的方法的第三实施例的流程图;
图4为本发明防御会话劫持攻击的防火墙的第一实施例的结构示意图;
图5为本发明防御会话劫持攻击的防火墙的第二实施例的结构示意图;
图6为本发明防御会话劫持攻击的防火墙的第三实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1为本发明防御会话劫持攻击的方法的第一实施例的流程图。本实施例提到的防御会话劫持攻击的方法,包括步骤:
步骤S10,接收合法客户端发送的第一访问请求,并将第一访问请求发送至服务器;
在合法客户端首次访问服务器时,合法客户端发送的访问请求(即步骤S10中的第一访问请求)中并未包含令牌,此时,防火墙直接对该访问请求放行。
步骤S20,接收服务器返回的第一响应,第一响应中包括第一认证令牌;
服务器在接收到访问请求后,对访问请求应答,返回包含认证令牌的响应(即步骤S20中的包括第一认证令牌的第一响应)。
步骤S30,根据合法客户端的网络地址和合法客户端的标识码生成第一序列值,将第一认证令牌和第一序列值重组为第二认证令牌;
本步骤为对认证令牌重组的步骤,其中,合法客户端的标识码可以是合法客户端的物理地址或其他可以收集的合法客户端信息。可采用随机串和散列算法,将合法客户端的网络地址和合法客户端的标识码生成第一序列值。
步骤S40,将第一响应中的第一认证令牌替换为第二认证令牌,并将包含第二认证令牌的第一响应发送至合法客户端。
防火墙将替换后的响应发送至合法客户端,合法客户端将响应中的第二认证令牌存储起来,以便在再次访问服务器时提供给服务器验证。由于此时第二认证令牌中包含有合法客户端的信息。因此,当有客户端发起访问服务器的请求时,只需将第二认证令牌中包含的合法客户端的信息与当前发起访问请求的客户端的信息进行比较,如果匹配,则说明当前发起访问请求的客户端是步骤S40中合法获得第二认证令牌的合法客户端;否则,当前发起访问请求的客户端为非法客户端,防火墙拒绝放行。
本实施例采用了客户端身份验证机制,避免非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。
如图2所示,图2为本发明防御会话劫持攻击的方法的第二实施例的流程图。本实施例以图1所示实施例为基础,在步骤S40之后还包括:
步骤S50,接收当前客户端发送的第二访问请求;
发送第二访问请求的客户端可能是再次发起访问请求的合法客户端,也可能是盗取令牌后的非法客户端,因此,在第二访问请求中包括有第二认证令牌。
步骤S60,从第二认证令牌中分离出第一认证令牌和第一序列值;
将第二认证令牌分离为两部分,一部分与第一认证令牌相同,另一部分与第一序列值相同,作为验证客户端身份的标识。
步骤S70,根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
防火墙获取当前客户端的信息,生成第二序列值,用于验证当前客户端是否合法。第二序列值的生成方式与第一序列值生成方式相同。可采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
步骤S80,当第二序列值与第一序列值相同时,确定当前客户端为合法客户端;
如果当前客户端是再次发起访问请求的合法客户端,则当前客户端的信息与合法客户端的信息相同,生成的第二序列值也应与第一序列值相同。如果当前客户端是盗取令牌后的非法客户端,则非法客户端的信息与合法客户端的信息显然不同,此时生成的第二序列值也与第一序列值不同。通过该步骤即可判断出当前客户端是否为合法客户端。
步骤S90,将第二访问请求中的第二认证令牌替换为第一认证令牌;
防火墙在判定当前客户端为合法客户端后,将第二认证令牌还原为第一认证令牌,再发送至服务器进行验证。
步骤S100,将包含第一认证令牌的第二访问请求发送至服务器,供服务器验证第一认证令牌和响应第二访问请求。
本实施例由于采用了客户端信息进行身份验证,在当前客户端信息与合法客户端信息一致时,防火墙对当前客户端放行,避免了非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。
如图3所示,图3为本发明防御会话劫持攻击的方法的第三实施例的流程图。本实施例以图2所示实施例为基础,增加了查找令牌位置的步骤,在步骤S10之前还包括:
步骤S101,在服务器中查找一个依赖令牌访问的页面;
查找一个依赖令牌访问的页面即查找一个需要通过登录认证后才可以访问的页面。确定依赖令牌访问的页面可以通过提供一个给管理员的配置接口来确定,或者在防火墙部署前通过防火墙自带的扫描功能来确定,还可以通过实时检测登录的请求和响应来确定。本实施例采用实时检测登录的请求和响应的方法来确定。
步骤S102,在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;
防火墙刚刚部署后,在足够长的设定时间内,检测所有接收到的请求或响应报文,获取尽可能多的样本,例如,从请求报头Cookie或响应报头Set-Cookie中获取样本。
步骤S103,获取各个Cookie数据和Set-Cookie数据的键值对;
步骤S104,根据各个键值对及其组合,分别生成对应的第三访问请求;
获取的Cookie数据和Set-Cookie数据的部分或者全部键值对,并在生成第三访问请求报文时,把第三访问请求报文的Cookie消息报头修改为某一个键值对或其组合,即自定义的访问请求,直到遍历完所有键值对的组合。
步骤S105,分别采用各个第三访问请求,访问页面;
步骤S106,接收页面返回的对应于各个第三访问请求的第三响应;
步骤S107,当第三响应有效时,有效的第三响应对应的键值对为第一认证令牌存放的位置;
防火墙根据服务器的响应来判断发送的第三访问请求的Cookie中是否含有令牌,判定的标准可以是报文长度、关键字等可以区分的指标,如果报文长度与正确响应页面的长度相等,说明第三访问请求中的Cookie键值对或其组合含有令牌,并记录该键值对或其组合。当有效的位置为多个时,为了确定最精简的存放会话令牌的位置,可检索最简的一个。本实施例通过防火墙自学习功能确定令牌存放位置,可准确在访问请求中获得认证令牌,可避免令牌获取错误的情况发生。
如图4所示,图4为本发明防御会话劫持攻击的防火墙的第一实施例的结构示意图。本实施例提到的防御会话劫持攻击的防火墙,包括:
收发模块10,用于接收合法客户端发送的第一访问请求,并将第一访问请求发送至服务器;接收服务器返回的第一响应,第一响应中包括第一认证令牌;
重组模块20,用于根据合法客户端的网络地址和合法客户端的标识码生成第一序列值,将第一认证令牌和第一序列值重组为第二认证令牌;
替换模块30,用于将第一响应中的第一认证令牌替换为第二认证令牌;
收发模块10还用于,将包含第二认证令牌的第一响应发送至合法客户端。
重组模块20具体用于,采用随机串和散列算法,将合法客户端的网络地址和合法客户端的标识码生成第一序列值。
本实施例中,在合法客户端首次访问服务器时,合法客户端发送的访问请求中并未包含令牌,此时,防火墙直接对该访问请求放行。服务器在接收到访问请求后,对访问请求应答,返回包含认证令牌的响应。合法客户端的标识码可以是合法客户端的物理地址或其他可以收集的合法客户端信息。可采用随机串和散列算法,将合法客户端的网络地址和合法客户端的标识码生成第一序列值。防火墙将替换后的响应发送至合法客户端,合法客户端将响应中的第二认证令牌存储起来,以便在再次访问服务器时提供给服务器验证。由于此时第二认证令牌中包含有合法客户端的信息。因此,当有客户端发起访问服务器的请求时,只需将第二认证令牌中包含的合法客户端的信息与当前发起访问请求的客户端的信息进行比较,如果匹配,则说明当前发起访问请求的客户端是合法获得第二认证令牌的合法客户端;否则,当前发起访问请求的客户端为非法客户端,防火墙拒绝放行。本实施例采用了客户端身份验证机制,避免非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。
如图5所示,图5为本发明防御会话劫持攻击的防火墙的第二实施例的结构示意图。本实施例以图4所示实施例为基础,增加了判断模块40。其中:
收发模块10还用于,接收当前客户端发送的第二访问请求,第二访问请求中包括第二认证令牌;
重组模块20还用于,从第二认证令牌中分离出第一认证令牌和第一序列值;根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
判断模块40用于,当第二序列值与第一序列值相同时,确定当前客户端为合法客户端;
替换模块30还用于,将第二访问请求中的第二认证令牌替换为第一认证令牌;
收发模块10还用于,将包含第一认证令牌的第二访问请求发送至服务器,供服务器验证第一认证令牌和响应第二访问请求。
重组模块20具体还用于,采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
本实施例中,发送第二访问请求的客户端可能是再次发起访问请求的合法客户端,也可能是盗取令牌后的非法客户端,因此,在第二访问请求中包括有第二认证令牌。将第二认证令牌分离为两部分,一部分与第一认证令牌相同,另一部分与第一序列值相同,作为验证客户端身份的标识。防火墙获取当前客户端的信息,生成第二序列值,用于验证当前客户端是否合法。第二序列值的生成方式与第一序列值生成方式相同。可采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。如果当前客户端是再次发起访问请求的合法客户端,则当前客户端的信息与合法客户端的信息相同,生成的第二序列值也应与第一序列值相同。如果当前客户端是盗取令牌后的非法客户端,则非法客户端的信息与合法客户端的信息显然不同,此时生成的第二序列值也与第一序列值不同。通过该步骤即可判断出当前客户端是否为合法客户端。防火墙在判定当前客户端为合法客户端后,将第二认证令牌还原为第一认证令牌,再发送至服务器进行验证。本实施例由于采用了客户端信息进行身份验证,在当前客户端信息与合法客户端信息一致时,防火墙对当前客户端放行,避免了非法客户端假冒合法客户端访问服务器,有效防御各种会话劫持攻击,即使更换了令牌,也不会产生误报或漏报,防御性更加全面、可靠。
如图6所示,图6为本发明防御会话劫持攻击的防火墙的第三实施例的结构示意图。本实施例以图5所示实施例为基础,增加了查找模块50。其中:
查找模块50用于,在服务器中查找一个依赖令牌访问的页面;
重组模块20具体还用于,在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;获取各个Cookie数据和Set-Cookie数据的键值对;根据各个键值对及其组合,分别生成对应的第三访问请求;
收发模块10还用于,分别采用各个第三访问请求,访问页面;接收页面返回的对应于各个第三访问请求的第三响应;
判断模块40用于,当第三响应有效时,有效的第三响应对应的键值对为第一认证令牌存放的位置。
本实施例中,查找一个依赖令牌访问的页面即查找一个需要通过登录认证后才可以访问的页面。确定依赖令牌访问的页面可以通过提供一个给管理员的配置接口来确定,或者在防火墙部署前通过防火墙自带的扫描功能来确定,还可以通过实时检测登录的请求和响应来确定。本实施例采用实时检测登录的请求和响应的方法来确定。防火墙刚刚部署后,在足够长的设定时间内,检测所有接收到的请求或响应报文,获取尽可能多的样本,例如,从请求报头Cookie或响应报头Set-Cookie中获取样本。获取的Cookie数据和Set-Cookie数据的部分或者全部键值对,并在生成第三访问请求报文时,把第三访问请求报文的Cookie消息报头修改为某一个键值对或其组合,即自定义的访问请求,直到遍历完所有键值对的组合。防火墙根据服务器的响应来判断发送的第三访问请求的Cookie中是否含有令牌,判定的标准可以是报文长度、关键字等可以区分的指标,如果报文长度与正确响应页面的长度相等,说明第三访问请求中的Cookie键值对或其组合含有令牌,并记录该键值对或其组合。当有效的位置为多个时,为了确定最精简的存放会话令牌的位置,可检索最简的一个。本实施例通过防火墙自学习功能确定令牌存放位置,可准确在访问请求中获得认证令牌,可避免令牌获取错误的情况发生。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种防御会话劫持攻击的方法,其特征在于,包括步骤:
接收合法客户端发送的第一访问请求,并将所述第一访问请求发送至服务器;
接收所述服务器返回的第一响应,所述第一响应中包括第一认证令牌;
根据所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值,将所述第一认证令牌和第一序列值重组为第二认证令牌;
将所述第一响应中的第一认证令牌替换为所述第二认证令牌,并将包含所述第二认证令牌的所述第一响应发送至所述合法客户端。
2.根据权利要求1所述的防御会话劫持攻击的方法,其特征在于,所述将包含所述第二认证令牌的所述第一响应发送至所述合法客户端的步骤之后还包括:
接收当前客户端发送的第二访问请求,所述第二访问请求中包括第二认证令牌;
从所述第二认证令牌中分离出所述第一认证令牌和第一序列值;
根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
当所述第二序列值与所述第一序列值相同时,确定当前客户端为所述合法客户端;
将所述第二访问请求中的第二认证令牌替换为所述第一认证令牌;
将包含所述第一认证令牌的所述第二访问请求发送至所述服务器,供所述服务器验证所述第一认证令牌和响应所述第二访问请求。
3.根据权利要求2所述的防御会话劫持攻击的方法,其特征在于,所述根据合法客户端的网络地址和所述合法客户端的标识码,生成第一序列值的步骤具体包括:
采用随机串和散列算法,将所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值。
4.根据权利要求3所述的防御会话劫持攻击的方法,其特征在于,所述根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值的步骤具体包括:
采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
5.根据权利要求2至4任一项所述的防御会话劫持攻击的方法,其特征在于,所述接收合法客户端发送的第一访问请求的步骤之前还包括:
在所述服务器中查找一个依赖令牌访问的页面;
在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;
获取各个所述Cookie数据和Set-Cookie数据的键值对;
根据各个所述键值对及其组合,分别生成对应的第三访问请求;
分别采用各个所述第三访问请求,访问所述页面;
接收所述页面返回的对应于各个所述第三访问请求的第三响应;
当所述第三响应有效时,有效的所述第三响应对应的键值对为所述第一认证令牌存放的位置。
6.一种防御会话劫持攻击的防火墙,其特征在于,包括:
收发模块,用于接收合法客户端发送的第一访问请求,并将所述第一访问请求发送至服务器;接收所述服务器返回的第一响应,所述第一响应中包括第一认证令牌;
重组模块,用于根据所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值,将所述第一认证令牌和第一序列值重组为第二认证令牌;
替换模块,用于将所述第一响应中的第一认证令牌替换为所述第二认证令牌;
所述收发模块还用于,将包含所述第二认证令牌的所述第一响应发送至所述合法客户端。
7.根据权利要求6所述的防御会话劫持攻击的防火墙,其特征在于,还包括判断模块;
所述收发模块还用于,接收当前客户端发送的第二访问请求,所述第二访问请求中包括第二认证令牌;
所述重组模块还用于,从所述第二认证令牌中分离出所述第一认证令牌和第一序列值;根据当前客户端的网络地址和当前客户端的标识码,生成第二序列值;
所述判断模块用于,当所述第二序列值与所述第一序列值相同时,确定当前客户端为所述合法客户端;
所述替换模块还用于,将所述第二访问请求中的第二认证令牌替换为所述第一认证令牌;
所述收发模块还用于,将包含所述第一认证令牌的所述第二访问请求发送至所述服务器,供所述服务器验证所述第一认证令牌和响应所述第二访问请求。
8.根据权利要求7所述的防御会话劫持攻击的防火墙,其特征在于,所述重组模块具体用于:
采用随机串和散列算法,将所述合法客户端的网络地址和所述合法客户端的标识码生成第一序列值。
9.根据权利要求8所述的防御会话劫持攻击的防火墙,其特征在于,所述重组模块具体还用于:
采用与生成第一序列值时相同的随机串和散列算法,将当前客户端的网络地址和当前客户端的标识码生成第二序列值,作为第二序列值。
10.根据权利要求7至9任一项所述的防御会话劫持攻击的防火墙,其特征在于,还包括查找模块;
所述查找模块用于,在所述服务器中查找一个依赖令牌访问的页面;
所述重组模块具体还用于,在预设时间内获取多个访问请求中的Cookie数据和多个响应中的Set-Cookie数据;获取各个所述Cookie数据和Set-Cookie数据的键值对;根据各个所述键值对及其组合,分别生成对应的第三访问请求;
所述收发模块还用于,分别采用各个所述第三访问请求,访问所述页面;接收所述页面返回的对应于各个所述第三访问请求的第三响应;
所述判断模块用于,当所述第三响应有效时,有效的所述第三响应对应的键值对为所述第一认证令牌存放的位置。
CN201210579537.9A 2012-12-27 2012-12-27 防御会话劫持攻击的方法和防火墙 Active CN103067385B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201210579537.9A CN103067385B (zh) 2012-12-27 2012-12-27 防御会话劫持攻击的方法和防火墙
US14/086,983 US9112828B2 (en) 2012-12-27 2013-11-22 Method for defending against session hijacking attacks and firewall

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210579537.9A CN103067385B (zh) 2012-12-27 2012-12-27 防御会话劫持攻击的方法和防火墙

Publications (2)

Publication Number Publication Date
CN103067385A true CN103067385A (zh) 2013-04-24
CN103067385B CN103067385B (zh) 2015-09-09

Family

ID=48109847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210579537.9A Active CN103067385B (zh) 2012-12-27 2012-12-27 防御会话劫持攻击的方法和防火墙

Country Status (2)

Country Link
US (1) US9112828B2 (zh)
CN (1) CN103067385B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103327006A (zh) * 2013-05-17 2013-09-25 北京邮电大学 多接入网络中的安全方法
CN104333562A (zh) * 2014-11-27 2015-02-04 沈文策 数据包传输方法及装置
CN105656912A (zh) * 2016-01-29 2016-06-08 广西咪付网络技术有限公司 一种移动智能终端app请求流程控制方法
CN106022743A (zh) * 2016-06-01 2016-10-12 中国银联股份有限公司 点对点转账系统和方法
CN106657024A (zh) * 2016-11-29 2017-05-10 珠海市魅族科技有限公司 防cookie被篡改的方法及装置
CN106685932A (zh) * 2016-12-08 2017-05-17 努比亚技术有限公司 一种基于云服务的文件访问系统和方法
CN109167802A (zh) * 2018-11-08 2019-01-08 金蝶软件(中国)有限公司 防止会话劫持的方法、服务器以及终端
CN109327465A (zh) * 2018-11-15 2019-02-12 珠海莲鸿科技有限公司 一种安全抵御网络劫持的方法
CN110493199A (zh) * 2019-07-26 2019-11-22 苏州浪潮智能科技有限公司 一种防止互联网Web攻击的方法和装置
CN111343191A (zh) * 2020-03-03 2020-06-26 浙江大华技术股份有限公司 会话校验方法及装置、存储介质、电子装置
CN111526166A (zh) * 2020-07-03 2020-08-11 支付宝(杭州)信息技术有限公司 一种信息验证方法、装置及设备
CN112104458A (zh) * 2020-09-04 2020-12-18 紫光云(南京)数字技术有限公司 一种基于手机令牌防御csrf攻击的方法
CN112261008A (zh) * 2020-09-27 2021-01-22 苏州浪潮智能科技有限公司 一种基于临时令牌的鉴权方法、客户端、和服务器
CN112771833A (zh) * 2018-09-28 2021-05-07 奥兰治 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序
CN113206858A (zh) * 2021-05-13 2021-08-03 南京邮电大学 基于物联网DDoS攻击的移动目标防御方法
CN115208577A (zh) * 2022-06-28 2022-10-18 广西电网有限责任公司电力科学研究院 基于在线交互式web动态防御的随机令牌生成方法
CN115695050A (zh) * 2022-12-31 2023-02-03 北京仁科互动网络技术有限公司 点击劫持攻击的防范方法、装置、电子设备及存储介质

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
US10949526B2 (en) * 2018-01-25 2021-03-16 Salesforce.Com, Inc. User device authentication
US11363070B2 (en) * 2020-01-05 2022-06-14 International Business Machines Corporation Preventing cross-site request forgery
US11159514B2 (en) 2020-02-27 2021-10-26 Bank Of America Corporation System for authenticating process operations on a network using context locked progressive session tokens
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN113794739B (zh) * 2021-11-16 2022-04-12 北京邮电大学 针对中间人攻击的双层主动防御的方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7339908B2 (en) * 2001-07-31 2008-03-04 Arraycomm, Llc. System and related methods to facilitate delivery of enhanced data services in a mobile wireless communications environment
CN1633072A (zh) * 2005-01-10 2005-06-29 虞淑瑶 一种支持弱口令的双服务器认证方案
CN101141305B (zh) * 2007-10-08 2010-11-24 福建星网锐捷网络有限公司 网络安全防御系统、方法和安全管理服务器
CN101645776B (zh) * 2009-08-28 2011-09-21 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体鉴别方法
CN102790767B (zh) * 2012-07-03 2015-07-08 北京神州绿盟信息安全科技股份有限公司 信息安全控制方法,信息安全显示设备,及电子交易系统

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103327006B (zh) * 2013-05-17 2016-12-28 北京邮电大学 多接入网络中的安全方法
CN103327006A (zh) * 2013-05-17 2013-09-25 北京邮电大学 多接入网络中的安全方法
CN104333562A (zh) * 2014-11-27 2015-02-04 沈文策 数据包传输方法及装置
CN105656912A (zh) * 2016-01-29 2016-06-08 广西咪付网络技术有限公司 一种移动智能终端app请求流程控制方法
CN106022743A (zh) * 2016-06-01 2016-10-12 中国银联股份有限公司 点对点转账系统和方法
CN106657024B (zh) * 2016-11-29 2020-04-21 珠海市魅族科技有限公司 防cookie被篡改的方法及装置
CN106657024A (zh) * 2016-11-29 2017-05-10 珠海市魅族科技有限公司 防cookie被篡改的方法及装置
CN106685932A (zh) * 2016-12-08 2017-05-17 努比亚技术有限公司 一种基于云服务的文件访问系统和方法
CN106685932B (zh) * 2016-12-08 2019-11-15 努比亚技术有限公司 一种基于云服务的文件访问系统和方法
CN112771833A (zh) * 2018-09-28 2021-05-07 奥兰治 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序
CN112771833B (zh) * 2018-09-28 2023-06-06 奥兰治 标识符的分配方法、记录方法、设备、客户端节点、服务器和介质
CN109167802A (zh) * 2018-11-08 2019-01-08 金蝶软件(中国)有限公司 防止会话劫持的方法、服务器以及终端
CN109167802B (zh) * 2018-11-08 2021-07-13 金蝶软件(中国)有限公司 防止会话劫持的方法、服务器以及终端
CN109327465A (zh) * 2018-11-15 2019-02-12 珠海莲鸿科技有限公司 一种安全抵御网络劫持的方法
CN110493199A (zh) * 2019-07-26 2019-11-22 苏州浪潮智能科技有限公司 一种防止互联网Web攻击的方法和装置
CN111343191A (zh) * 2020-03-03 2020-06-26 浙江大华技术股份有限公司 会话校验方法及装置、存储介质、电子装置
US11283614B2 (en) 2020-07-03 2022-03-22 Alipay (Hangzhou) Information Technology Co., Ltd. Information verification method, apparatus, and device
CN111526166A (zh) * 2020-07-03 2020-08-11 支付宝(杭州)信息技术有限公司 一种信息验证方法、装置及设备
CN112104458A (zh) * 2020-09-04 2020-12-18 紫光云(南京)数字技术有限公司 一种基于手机令牌防御csrf攻击的方法
CN112261008A (zh) * 2020-09-27 2021-01-22 苏州浪潮智能科技有限公司 一种基于临时令牌的鉴权方法、客户端、和服务器
CN113206858A (zh) * 2021-05-13 2021-08-03 南京邮电大学 基于物联网DDoS攻击的移动目标防御方法
CN113206858B (zh) * 2021-05-13 2022-12-06 南京邮电大学 基于物联网DDoS攻击的移动目标防御方法
CN115208577A (zh) * 2022-06-28 2022-10-18 广西电网有限责任公司电力科学研究院 基于在线交互式web动态防御的随机令牌生成方法
CN115695050A (zh) * 2022-12-31 2023-02-03 北京仁科互动网络技术有限公司 点击劫持攻击的防范方法、装置、电子设备及存储介质
CN115695050B (zh) * 2022-12-31 2023-04-07 北京仁科互动网络技术有限公司 点击劫持攻击的防范方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
US20140189842A1 (en) 2014-07-03
CN103067385B (zh) 2015-09-09
US9112828B2 (en) 2015-08-18

Similar Documents

Publication Publication Date Title
CN103067385B (zh) 防御会话劫持攻击的方法和防火墙
US11063960B2 (en) Automatic generation of attribute values for rules of a web application layer attack detector
Tripathi et al. Application layer denial-of-service attacks and defense mechanisms: a survey
US10395040B2 (en) System and method for identifying network security threats and assessing network security
US9807092B1 (en) Systems and methods for classification of internet devices as hostile or benign
CN101180826B (zh) 较高级协议认证
US8392963B2 (en) Techniques for tracking actual users in web application security systems
CN106302308B (zh) 一种信任登录方法和装置
US20140373138A1 (en) Method and apparatus for preventing distributed denial of service attack
US20170264590A1 (en) Preventing dns cache poisoning
CN105939326A (zh) 处理报文的方法及装置
Ghafir et al. DNS traffic analysis for malicious domains detection
CN103916389A (zh) 防御HttpFlood攻击的方法及防火墙
CN103313429A (zh) 一种识别伪造wifi热点的处理方法
CN106657035B (zh) 一种网络报文传输方法及装置
CN108881233A (zh) 防攻击处理方法、装置、设备及存储介质
CN109067768B (zh) 一种域名查询安全性的检测方法、系统、设备和介质
CN108400955A (zh) 一种网络攻击的防护方法及系统
CN105100048A (zh) WiFi网络安全鉴定方法、服务器、客户端装置和系统
CN103051598B (zh) 安全接入互联网业务的方法、用户设备和分组接入网关
CN111917706A (zh) 一种识别nat设备及确定nat后终端数的方法
CN107707569A (zh) Dns请求处理方法及dns系统
Rafiee et al. A flexible framework for detecting ipv6 vulnerabilities
CN104219335A (zh) 一种dns请求的处理方法、装置及系统
Schoenborn et al. Detecting SQL-Injection and Cross-Site Scripting Attacks Using Case-Based Reasoning and SEASALT.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SANGFOR TECHNOLOGIES Inc.

Address before: 518052 room 410-413, science and technology innovation service center, No. 1 Qilin Road, Shenzhen, Guangdong, China

Patentee before: Sangfor Technologies Co.,Ltd.

CP03 Change of name, title or address
TR01 Transfer of patent right

Effective date of registration: 20221026

Address after: Floor 3, Building A1, Nanshan Zhiyuan, No. 1001, Xueyuan Avenue, Nanshan District, Shenzhen, Guangdong 518000

Patentee after: Shenzhen Shenxinfu Information Security Co.,Ltd.

Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Patentee before: SANGFOR TECHNOLOGIES Inc.

TR01 Transfer of patent right