一种基于从服务器端到客户端字符转换的网站防护方法
技术领域
本发明涉及一种网站防护的方法,尤其是一种通过从服务器端到客户端发送信息的字符转换来实现网站防护的方法,属于网络安全技术领域。
背景技术
当WEB应用越来越为丰富的同时,其应用也存在着安全隐患,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标,SQL注入、网页篡改、网页挂马等安全事件,频繁发生。与此同时,Web应用防护系统(Web Application Firewall, 简称:WAF)应运而生,因其工作在应用层,对Web应用防护具有先天的技术优势,因此一般被作为安全保障体系中的一道重要防线。
当前主流的WAF主要通过特征识别、算法识别和模式匹配等手段进行防护。这种方式对已知的攻击,其防护能力有限,因为成功入侵的黑客,并非都大肆张扬,比如给网页挂马,很难察觉进来的是哪一个,无法识别攻击以至于难以进行统计工作。因此,对于未知的WEB应用攻击,Web应用防护系统束手无策,很难采取较好的防御措施,从而对WEB的应用造成极大的安全隐患。
而同样对于具有自学习功能的防御措施来说,其防护能力有所改善,其学习功能主要包括两个方面:网页自学习和用户行为自学习。对于Web应用网页的自动学习功能,由于网站的多样化,不同的网站不可能一样,所以网站自身页面的特性没有办法提前定义,所以需要设备采用自动预学习方式,从而总结出本网站的页面的特点。对于用户行为自学习,则是应用防火墙通过分析双向流量来学习Web服务的用户行为模式,建立了若干用户行为模型,一但匹配上访问者你是某个行为,就按该模式行为去衡量你访问者的行为做法,有“越轨”企图立即给予阻断。无论网页自学习和用户行为自学习方式,仍然具有其自身无法克服的缺陷。一方面其在预学习过程中,是不具备防护能力的。另一方面,学习的精准度则取决于算法的实现,无法量化其精准度。
由此可见,我们需要一种能够解决当前安全问题的方法。
发明内容
发明目的:针对现有网站防护技术的不足,本发明提供一种更加完善的网站防护算法的实现方法,即,一种基于从服务器端到客户端字符转换的网站防护方法。
技术方案:一种基于从服务器端到客户端字符转换的网站防护方法,当用户访问网站网页时,网站服务器返回用户请求的网页的URL,对返回的URL进行字符转换,将转换后的URL返回给用户,用户通过转换后的URL访问请求的网站网页时,再将转换后的URL经过字符转换,转换成原始的URL到达服务器;用户即可访问成功。
当管理员后台进行页面管理时,需对后台管理页面的路径进行字符转换,通过转换后的路径访问后台管理页面时,再将转换后的路径经过字符转换,转换成原始路径访问管理页面;黑客想通过暴力破解的方式打开后台管理页面则不可能成功。
当管理员增加用户页面时,需对增加用户页面的路径进行字符转换,转换成含有特殊字符的路径,到达服务器时,再将含有特殊字符的路径通过字符转换还原成原始增加用户页面的路径,增加用户成功,黑客进行跨站攻击则不可能成功。
进一步地,对返回的URL进行字符转换时,可对URL所有字符串进行字符转换或仅对关键字段进行字符转换。
当用户访问网站上的一个页面时,网站返回的URL,通过字符转换把返回的页面以及传输数据进行转换。比如,用户访问南京铱迅一个页面,铱迅网站服务器返回www.yxlink.com/test.asp?id=1,经过字符转换后,变成www.yxlink.com/dafafsa34fa。对于正常用户来说,不影响后续的访问,而对于黑客来说,网页脚本地址与变量被字符变换转换隐藏,则无法进行后续的攻击行为。
针对网站的后台管理路径进行转换。例如:www.yxlink.com/adminmanage/admin_login.asp是南京铱迅网站的后台管理页面。黑客可以通过暴利破解的方式,打开后台管理页面。通过字符转换之后转换成特殊字符:www.yxlink.com/fafa2338afwfa/admin_logif34tgw4fn.asp,黑客则不可能打开后台管理页面。而网站的管理员则可以通过特殊字符访问该管理页面。
对于跨站攻击,也同样可以采用本发明防护方法。例如:管理员增加一个用户名和密码分别是admin的用户时,执行http://www.aaa.com/admin/adduser.asp?username=admin&pass=admin。而黑客则会通过在留言板中留言的方式,<img src=http://www.aaa.com/ admin/adduser.asp?username=admin&pass=admin></IMG>形成跨站攻击。如果通过字符转换的方式,转换成特殊字符:http://www.aaa.com/f3d2f2?username5g4h34f=admin&passg4j3ds5=admin,则可以避免黑客的攻击。而管理员通过特殊字符访问,则可以进行正常的操作。
有益效果:与现有技术相比,本发明提供的基于从服务器端到客户端字符转换的网站防护方法,通过从服务器端到客户端字符变换转换的方法,实现不仅能够检测目前已知和未知的Web应用攻击,而且可以在不影响正常业务流量的前提下对攻击流量进行更为精确的阻断。本发明可应用于Web应用防火墙、新一代防火墙、入侵防御系统、以及后续针对应用层防护的诸多安全产品,具有广泛的应用前景。
附图说明
图1为本发明所述的Get请求操作时序图;
图2为本发明所述的后台管理页面路径操作时序图;
图3为本发明所述的增加用户页面操作的时序图。
具体实施方式
下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
如图1所示,网站返回的URL关键字段转换。假设中间安全设备是WAF,描述流程如下:
步骤101,用户访问网站的一个页面;
步骤102,Get请求经过WAF发到网站服务器;
步骤103,网站服务器返回响应消息到WAF上;
步骤104,在WAF上,经过关键字段的字符转换;
步骤105,WAF把字符转换后的URL返回给用户。
如图1所示,对后台管理页面进行转换,防止黑客暴力破解。假设中间安全设备是WAF,描述流程如下:
步骤201,通过字符转换操作对后台管理路径进行转换,转换成特征字符的后台管理路径;
步骤202,管理员通过转换后的特殊字符的后台管理路径访问后台管理页面;
步骤203,请求的URL(特殊字符的后台管理路径)经过WAF后,转换成正常的管理页面的URL(步骤201中未经字符转换的后台管理路径);
步骤204,管理员访问管理页面成功;
步骤205,黑客想通过暴力破解的方式打开后台管理页面则不可能成功。
如图3所示,对增加用户页面进行转换,防止黑客跨站攻击。假设中间安全设备是WAF,描述流程如下:
步骤301,通过字符转换操作对增加用户路径进行转换;
步骤302,管理员通过设置的特殊字符进行增加用户操作;
步骤303,请求消息经过WAF后,将含有特殊字符的用户路径转换成正常的请求(原始用户路径)消息;
步骤304,增加用户成功;
步骤305,黑客进行跨站攻击则不可能成功。
综上所述,本发明提供了一种网站安全防护的终极解决方案。此项技术可以应用于金融,政府,高校,电商网站等诸多行业,例如,电商行业,可将本发明应用于安全设备中,这样可以确保电商网站任何时间都处于安全状态。不仅保护了广大电商网站的利益,更保证了广大用户的合法权益,因此,本技术方法简单,便于实现,具有很高的推广价值。