CN103501304B - 控制web系统越权访问的方法及装置 - Google Patents
控制web系统越权访问的方法及装置 Download PDFInfo
- Publication number
- CN103501304B CN103501304B CN201310477351.7A CN201310477351A CN103501304B CN 103501304 B CN103501304 B CN 103501304B CN 201310477351 A CN201310477351 A CN 201310477351A CN 103501304 B CN103501304 B CN 103501304B
- Authority
- CN
- China
- Prior art keywords
- user
- list
- page
- parameter
- modifiable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开一种控制web系统越权访问的方法及装置,接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问;本发明实施例达到了有效地控制web系统越权访问的目的。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种控制web系统越权访问的方法及装置。
背景技术
目前互联网中存在的最严重的漏洞之一是越权访问这类漏洞,这类漏洞是指网络应用在检查授权时存在纰漏,使得攻击者可以利用某些方式绕过权限检查,访问或者操作到原本无权访问的代码。在实际代码安全检查中,越权访问这类漏洞往往很难通过网络安全工具进行自动化检测;且在实际应用中,需要进行权限控制的数据也非常多,比如用户的收货地址信息、订单信息、支付信息等,当网络业务复杂到一定程度后,很难保证这些数据的访问都经过了严格的权限检查;且传统的网关安全设备也不具备控制用户权限、业务逻辑等安全问题的能力;因此,采用现有的防御方式对越权访问这类漏洞的防御非常困难。
发明内容
鉴于此,有必要提供一种控制web系统越权访问的方法及装置,以达到控制web系统越权访问的目的。
本发明实施例公开了一种控制web系统越权访问的方法,包括以下步骤:
接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数;
将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问。
优选地,所述检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问,包括:
检测到用户提交请求页面的表单时,获取该用户对应的用户唯一标识信息;
根据所述用户唯一标识信息,查找所述参数列表中记录的与所述用户唯一标识信息对应的表单及不可修改参数;
识别用户提交的请求页面的表单对应的不可修改参数与所述参数列表中记录的不可修改参数是否一致;
若二者不一致,则禁止该用户对所述请求页面的访问;
若二者一致,则允许该用户对所述请求页面的访问。
优选地,所述根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,包括:
当预设的所述识别策略为:http请求头中cookie传递的参数时,从所述页面访问请求中提取http请求头中cookie的username字段,将提取的所述username字段值作为该用户对应的用户唯一标识信息。
优选地,所述提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,包括:
扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。
优选地,所述提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,包括:
虚拟执行所述应答页面包含的脚本程序,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。
本发明实施例还公开了一种控制web系统越权访问的装置,包括:
参数提取模块,用于接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数;
参数绑定模块,用于将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
越权检测模块,用于检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问。
优选地,所述越权检测模块用于:
检测到用户提交请求页面的表单时,获取该用户对应的用户唯一标识信息;
根据所述用户唯一标识信息,查找所述参数列表中记录的与所述用户唯一标识信息对应的表单及不可修改参数;
识别用户提交的请求页面的表单对应的不可修改参数与所述参数列表中记录的不可修改参数是否一致;
若二者不一致,则禁止该用户对所述请求页面的访问;
若二者一致,则允许该用户对所述请求页面的访问。
优选地,所述参数提取模块用于:
当预设的所述识别策略为:http请求头中cookie传递的参数时,从所述页面访问请求中提取http请求头中cookie的username字段,将提取的所述username字段值作为该用户对应的用户唯一标识信息。
优选地,所述参数提取模块用于:
扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。
优选地,所述参数提取模块还用于:
虚拟执行所述应答页面包含的脚本程序,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。
本发明实施例网关接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问;相较于现有技术对越权访问形式的漏洞所采用的方法,本发明实施例达到了有效地控制web系统越权访问的目的;进一步地,由于本发明实施例采用将用户访问的页面表单及不可修改参数进行绑定的方式,具有精确控制越权访问的有益效果。
附图说明
图1是本发明控制web系统越权访问的方法一实施例流程示意图;
图2是本发明控制web系统越权访问的方法中进行越权检测一实施例流程示意图;
图3是本发明控制web系统越权访问的装置一实施例功能模块示意图。
本发明实施例目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1是本发明控制web系统越权访问的方法一实施例流程示意图;如图1所示,本发明控制web系统越权访问的方法包括以下步骤:
步骤S01、接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数;
步骤S02、将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
本实施例中,网关预先设置了用户唯一标识的识别策略;该识别策略包括http(Hyper Text Transport Protocol,超文本传输协议)请求头中cookie(小型文本文件)传递的参数或URL(Uniform Resource Locator,统一资源定位符)中传递的参数。
当网关接收到用户发送的页面访问请求时,根据预先设置的识别策略,例如设置cookie中的username字段作为web用户的唯一标识信息,则网关从用户发送的页面访问请求中提取http请求头的cookie中的username字段,将提取的username字段值作为该用户对应的用户唯一标识信息。
网关接收到用户发送的页面访问请求时,对该用户的每次访问,扫描数据包,提取用户发送的页面访问请求对应的应答页面中的表单及表单中不可修改参数,并将该表单及不可修改参数与用户唯一标识信息一起绑定后,记录在参数列表中。
本实施例中,所述参数列表至少包含用户的请求方法、请求URL、参数名和参数值;在进行参数的提取时,网关扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。或者,网关也可以虚拟执行所述应答页面包含的脚本程序如JS(JavaScript,脚本语言)代码,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。例如,用户请求页面A,A页面中包含以POST(Power On Self Test,开机自检)方式提交到B页面的表单,表单中包含固定参数nameflag=”hello”的键值对,则记录的不可修改参数中包括:请求方法POST,URLB,参数名nameflag,参数值hello。
本实施例中,所述不可修改参数是指在HTML(Hypertext Markup Language,超文本标记语言)表单中固定写入的一个不可更改的表单项即隐藏域;当用户提交表单时,网关将不可修改参数也与表单一起发送到服务端;该隐藏域在表单中的形式主要有以下三种:①直接内置到HTML页面中的隐藏域,例如<input type=”hidden”name=”xxx”value=”xxx”/>;②以JS的形式动态创建的隐藏参数,例如:
<script>
function add(value){
var value=1;
document.all.divHidden.innerHTML="<input
type=’hidden’name=’hdncount’value="+value+">";
}
</script>
③HTML结合JS的实现方式,例如HTML页面中写<input type=”hidden”name=”xxx”/>,JS中动态给名称为xxx的隐藏域赋值。
上述第①种形式的隐藏域可以完全绑定参数值,第②种形式的隐藏域的绑定需要结合隐藏域插入到HTML页面的具体表单来获取隐藏域提交的URL;若存在第③种形式的隐藏域,则可以绑定第三种形式隐藏域的参数值。
步骤S03、检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问。
当检测到用户提交请求页面的表单时,查询该请求页面对应的URL及该URL对应的各种参数;将所述请求页面的表单及参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对;当发现请求方法匹配,但却存在不可修改参数被修改时,网关则认为该用户为越权访问,则阻止该用户对请求页面的访问。
图2是本发明控制web系统越权访问的方法中进行越权检测一实施例流程示意图;如图2所示,步骤S03、检测到用户提交请求页面的表单时,将所述请求页面的表单及参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问,包括:
步骤S11、检测到用户提交请求页面的表单时,获取该用户对应的用户唯一标识信息;
步骤S12、根据所述用户唯一标识信息,查找所述参数列表中记录的与所述用户唯一标识信息对应的表单及不可修改参数;
步骤S13、识别用户提交的请求页面的表单对应的不可修改参数与所述参数列表中记录的不可修改参数是否一致;若是,则执行步骤S14;若否,则执行步骤S15;
步骤S14、允许该用户对所述请求页面的访问;
步骤S15、禁止该用户对所述请求页面的访问。
网关检测到用户提交请求页面的表单时,识别并获取该用户对应的用户唯一标识信息;根据获取的该用户唯一标识信息,查找已存储的参数列表中记录的与该用户唯一标识信息对应的表单及不可修改参数。将用户提交的请求页面的表单及对应的不可修改参数,与参数列表中记录的与用户唯一标识信息对应的表单及不可修改参数进行比对,识别二者是否一致;在用户请求页面对应的不可修改参数与参数列表中记录的不可修改参数一致时,允许用户的本次访问;在用户请求页面对应的不可修改参数与参数列表中记录的不可修改参数不一致时,识别该用户的本次访问为越权访问,阻止用户访问其请求的页面。
本发明实施例网关接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问;达到了有效地控制web系统越权访问的目的;进一步地,由于本发明实施例采用将用户访问的页面表单及不可修改参数进行绑定的方式,具有精确控制越权访问的有益效果。
图3是本发明控制web系统越权访问的装置一实施例功能模块示意图。如图3所示,本发明控制web系统越权访问的装置包括:参数提取模块01、参数绑定模块02和越权检测模块03。
参数提取模块01,用于接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数;
参数绑定模块02,用于将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
本实施例中,网关预先设置了用户唯一标识的识别策略;该识别策略包括http请求头中cookie传递的参数或URL中传递的参数。
当网关接收到用户发送的页面访问请求时,根据预先设置的识别策略,例如设置cookie中的username字段作为web用户的唯一标识信息,参数提取模块01从用户发送的页面访问请求中提取http请求头的cookie中的username字段,将提取的username字段值作为该用户对应的用户唯一标识信息。
参数提取模块01接收到用户发送的页面访问请求时,对该用户的每次访问,扫描数据包,提取用户发送的页面访问请求对应的应答页面中的表单及表单中不可修改参数,并由参数绑定模块02将该表单及不可修改参数与用户唯一标识信息一起绑定后,记录在参数列表中。
本实施例中,所述参数列表至少包含用户的请求方法、请求URL、参数名和参数值;在进行参数的提取时,参数提取模块01扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。或者,参数提取模块01也可以虚拟执行所述应答页面包含的脚本程序如JS代码,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。例如,用户请求页面A,A页面中包含以POST方式提交到B页面的表单,表单中包含固定参数nameflag=”hello”的键值对,则参数提取模块01记录的不可修改参数中包括:请求方法POST,URL B,参数名nameflag,参数值hello。
本实施例中,所述不可修改参数是指在HTML表单中固定写入的一个不可更改的表单项即隐藏域;当用户提交表单时,网关将不可修改参数也与表单一起发送到服务端;该隐藏域在表单中的形式主要有以下三种:①直接内置到HTML页面中的隐藏域,例如<inputtype=”hidden”name=”xxx”value=”xxx”/>;②以JS的形式动态创建的隐藏参数,例如:
<script>
function add(value){
var value=1;
document.all.divHidden.innerHTML="<input
type=’hidden’name=’hdncount’value="+value+">";
}
</script>
③HTML结合JS的实现方式,例如HTML页面中写<input type=”hidden”name=”xxx”/>,JS中动态给名称为xxx的隐藏域赋值。
参数绑定模块02对上述第①种形式的隐藏域可以完全绑定参数值,参数绑定模块02对第②种形式的隐藏域的绑定需要结合隐藏域插入到HTML页面的具体表单来获取隐藏域提交的URL;若存在第③种形式的隐藏域,参数绑定模块02则可以绑定第三种形式隐藏域的参数值。
越权检测模块03,用于检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问。
当检测到用户提交请求页面的表单时,越权检测模块03查询该请求页面对应的URL及该URL对应的各种参数;将所述请求页面的表单及参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对;当发现请求方法匹配,但却存在不可修改参数被修改时,越权检测模块03则认为该用户为越权访问,则阻止该用户对请求页面的访问。
越权检测模块03检测到用户提交请求页面的表单时,识别并获取该用户对应的用户唯一标识信息;根据获取的该用户唯一标识信息,越权检测模块03查找已存储的参数列表中记录的与该用户唯一标识信息对应的表单及不可修改参数。越权检测模块03将用户提交的请求页面的表单及对应的不可修改参数,与参数列表中记录的与用户唯一标识信息对应的表单及不可修改参数进行比对,识别二者是否一致;在用户请求页面对应的不可修改参数与参数列表中记录的不可修改参数一致时,越权检测模块03允许用户的本次访问;在用户请求页面对应的不可修改参数与参数列表中记录的不可修改参数不一致时,越权检测模块03识别该用户的本次访问为越权访问,阻止用户访问其请求的页面。
本发明实施例网关接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问;达到了有效地控制web系统越权访问的目的;进一步地,由于本发明实施例采用将用户访问的页面表单及不可修改参数进行绑定的方式,具有精确控制越权访问的有益效果。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种控制web系统越权访问的方法,其特征在于,包括以下步骤:
接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,所述不可修改参数是指在HTML表单中固定写入的一个不可更改的表单项即隐藏域;
将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问,其中,当存在所述请求页面的不可修改参数与所述参数列表中记录的不可修改参数不一致时,识别该用户对请求页面的访问为越权访问,阻止该用户对请求页面的访问。
2.如权利要求1所述的方法,其特征在于,所述检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问,包括:
检测到用户提交请求页面的表单时,获取该用户对应的用户唯一标识信息;
根据所述用户唯一标识信息,查找所述参数列表中记录的与所述用户唯一标识信息对应的表单及不可修改参数;
识别用户提交的请求页面的表单对应的不可修改参数与所述参数列表中记录的不可修改参数是否一致;
若二者不一致,则禁止该用户对所述请求页面的访问;
若二者一致,则允许该用户对所述请求页面的访问。
3.如权利要求1或2所述的方法,其特征在于,所述根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,包括:
当预设的所述识别策略为:http请求头中cookie传递的参数时,从所述页面访问请求中提取http请求头中cookie的username字段,将提取的所述username字段值作为该用户对应的用户唯一标识信息。
4.如权利要求1或2所述的方法,其特征在于,所述提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,包括:
扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。
5.如权利要求1或2所述的方法,其特征在于,所述提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,包括:
虚拟执行所述应答页面包含的脚本程序,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。
6.一种控制web系统越权访问的装置,其特征在于,包括:
参数提取模块,用于接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,所述不可修改参数是指在HTML表单中固定写入的一个不可更改的表单项即隐藏域;
参数绑定模块,用于将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;
越权检测模块,用于检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的网络访问,其中,当存在所述请求页面的不可修改参数与所述参数列表中记录的不可修改参数不一致时,识别该用户对请求页面的访问为越权访问,阻止该用户对请求页面的访问。
7.如权利要求6所述的装置,其特征在于,所述越权检测模块用于:
检测到用户提交请求页面的表单时,获取该用户对应的用户唯一标识信息;
根据所述用户唯一标识信息,查找所述参数列表中记录的与所述用户唯一标识信息对应的表单及不可修改参数;
识别用户提交的请求页面的表单对应的不可修改参数与所述参数列表中记录的不可修改参数是否一致;
若二者不一致,则禁止该用户对所述请求页面的访问;
若二者一致,则允许该用户对所述请求页面的访问。
8.如权利要求6或7所述的装置,其特征在于,所述参数提取模块用于:
当预设的所述识别策略为:http请求头中cookie传递的参数时,从所述页面访问请求中提取http请求头中cookie的username字段,将提取的所述username字段值作为该用户对应的用户唯一标识信息。
9.如权利要求6或7所述的装置,其特征在于,所述参数提取模块用于:
扫描应答页面,提取所述应答页面中的表单及对应的隐藏域,根据提取的隐藏域获取所述表单中不可修改参数。
10.如权利要求6或7所述的装置,其特征在于,所述参数提取模块还用于:
虚拟执行所述应答页面包含的脚本程序,提取动态构建的隐藏域和对已有隐藏域的赋值,获取所述应答页面中的表单及该表单不可修改参数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310477351.7A CN103501304B (zh) | 2013-10-12 | 2013-10-12 | 控制web系统越权访问的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310477351.7A CN103501304B (zh) | 2013-10-12 | 2013-10-12 | 控制web系统越权访问的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103501304A CN103501304A (zh) | 2014-01-08 |
CN103501304B true CN103501304B (zh) | 2017-01-25 |
Family
ID=49866476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310477351.7A Active CN103501304B (zh) | 2013-10-12 | 2013-10-12 | 控制web系统越权访问的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103501304B (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101606655B1 (ko) | 2007-09-24 | 2016-03-25 | 애플 인크. | 전자 장치 내의 내장형 인증 시스템들 |
US8600120B2 (en) | 2008-01-03 | 2013-12-03 | Apple Inc. | Personal computing device control using face detection and recognition |
US9002322B2 (en) | 2011-09-29 | 2015-04-07 | Apple Inc. | Authentication with secondary approver |
US9898642B2 (en) * | 2013-09-09 | 2018-02-20 | Apple Inc. | Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs |
US10482461B2 (en) | 2014-05-29 | 2019-11-19 | Apple Inc. | User interface for payments |
CN104301302B (zh) * | 2014-09-12 | 2017-09-19 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
CN105743869A (zh) * | 2014-12-12 | 2016-07-06 | 阿里巴巴集团控股有限公司 | Csrf攻击防范方法、网站服务器及浏览器 |
CN105095488A (zh) * | 2015-08-18 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 应对轮询访问网页的方法和装置 |
DK179186B1 (en) | 2016-05-19 | 2018-01-15 | Apple Inc | REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION |
CN106027528B (zh) * | 2016-05-24 | 2019-07-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
CN108229115A (zh) * | 2016-12-21 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种鉴权方法及装置 |
CN106657074A (zh) * | 2016-12-26 | 2017-05-10 | 上海斐讯数据通信技术有限公司 | 一种url伪装及参数隐藏传递的方法及系统 |
CN106713347B (zh) * | 2017-01-18 | 2019-06-11 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
CN108334758B (zh) * | 2017-01-20 | 2020-08-18 | 中国移动通信集团山西有限公司 | 一种用户越权行为的检测方法、装置及设备 |
KR102185854B1 (ko) | 2017-09-09 | 2020-12-02 | 애플 인크. | 생체측정 인증의 구현 |
KR102389678B1 (ko) | 2017-09-09 | 2022-04-21 | 애플 인크. | 생체측정 인증의 구현 |
CN108197687A (zh) * | 2017-12-27 | 2018-06-22 | 江苏集萃智能制造技术研究所有限公司 | 一种网页二维码生成方法 |
CN108833365B (zh) * | 2018-05-24 | 2021-06-15 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其系统 |
US11170085B2 (en) | 2018-06-03 | 2021-11-09 | Apple Inc. | Implementation of biometric authentication |
US10860096B2 (en) | 2018-09-28 | 2020-12-08 | Apple Inc. | Device control using gaze information |
US11100349B2 (en) | 2018-09-28 | 2021-08-24 | Apple Inc. | Audio assisted enrollment |
CN111427774A (zh) * | 2020-03-09 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 用于应用程序测试实例的请求参数修改方法及系统 |
CN111651766B (zh) * | 2020-05-28 | 2023-08-22 | 杭州迪普科技股份有限公司 | 越权访问的测试方法及装置 |
CN112015483B (zh) * | 2020-08-07 | 2021-12-03 | 北京浪潮数据技术有限公司 | Post请求参数自动化处理方法、装置及可读存储介质 |
CN112818371A (zh) * | 2021-02-23 | 2021-05-18 | 建信金融科技有限责任公司 | 资源访问控制方法、系统、装置、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1755624A (zh) * | 2004-09-30 | 2006-04-05 | 微软公司 | 基于web的数据表单 |
CN1829172A (zh) * | 2005-03-01 | 2006-09-06 | 日本电气株式会社 | 用于检测和阻止越权访问的方法和装置 |
CN1909552A (zh) * | 2006-08-15 | 2007-02-07 | 华为技术有限公司 | 一种信息访问方法和系统 |
CN102413162A (zh) * | 2011-07-29 | 2012-04-11 | 互动在线(北京)科技有限公司 | 一种网站前端验证方法和装置 |
CN103312664A (zh) * | 2012-03-08 | 2013-09-18 | 阿里巴巴集团控股有限公司 | 表单验证方法、装置和系统 |
-
2013
- 2013-10-12 CN CN201310477351.7A patent/CN103501304B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1755624A (zh) * | 2004-09-30 | 2006-04-05 | 微软公司 | 基于web的数据表单 |
CN1829172A (zh) * | 2005-03-01 | 2006-09-06 | 日本电气株式会社 | 用于检测和阻止越权访问的方法和装置 |
CN1909552A (zh) * | 2006-08-15 | 2007-02-07 | 华为技术有限公司 | 一种信息访问方法和系统 |
CN102413162A (zh) * | 2011-07-29 | 2012-04-11 | 互动在线(北京)科技有限公司 | 一种网站前端验证方法和装置 |
CN103312664A (zh) * | 2012-03-08 | 2013-09-18 | 阿里巴巴集团控股有限公司 | 表单验证方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103501304A (zh) | 2014-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103501304B (zh) | 控制web系统越权访问的方法及装置 | |
US9460217B2 (en) | Optimizing search engine ranking by recommending content including frequently searched questions | |
US9807061B2 (en) | Privacy server for protecting personally identifiable information | |
US8904493B1 (en) | Image-based challenge-response testing | |
JP6533871B2 (ja) | ウェブアプリケーションへのサインオンを制御するためのシステムおよび方法 | |
CN101388768B (zh) | 检测恶意http请求的方法及装置 | |
US8954955B2 (en) | Standard commands for native commands | |
TW200825835A (en) | System and method of detecting web page vulnerability and recording medium thereof | |
CN102375952B (zh) | 在搜索引擎结果中显示网站是否为可信验证的方法 | |
CN104125258A (zh) | 页面跳转方法、终端、服务器和系统 | |
CN101971560A (zh) | 用于处理多步骤验证序列的方法和装置 | |
CN110266661A (zh) | 一种授权方法、装置及设备 | |
KR20180074774A (ko) | 악의 웹 사이트 식별 방법, 장치 및 컴퓨터 기억매체 | |
CN109361713A (zh) | 互联网风险监控方法、装置、设备及存储介质 | |
CN102891861B (zh) | 一种基于客户端的钓鱼网站检测方法及其装置 | |
CN102664872A (zh) | 用于检测和防止对计算机网络中服务器攻击的系统和方法 | |
US20160373436A1 (en) | Secured application access system and method with frequently changing passwords | |
JP5654285B2 (ja) | ウェブ・アプリケーション間のデータ通信装置、方法及びプログラム | |
CN104375935A (zh) | Sql注入攻击的测试方法和装置 | |
KR100968545B1 (ko) | 연관 컨텐츠 제공 방법 | |
CN106534210A (zh) | 一种登录的方法和装置 | |
KR100971139B1 (ko) | 문서 저작권 관리 방법 및 시스템과 이를 위한 기록매체 | |
KR20150128810A (ko) | 도메인 명칭 서버가 자연 언어 질의를 프로세싱하고 콘텍스트를 결정하게 하는 시스템 및 방법 | |
CN104866532B (zh) | 一种用于半封闭数据环境下的数据搜索的方法和装置 | |
Vogel | Marxist theories of migration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200611 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
TR01 | Transfer of patent right |