CN104346573A - 一种web应用系统信息安全框架的实现方法及装置 - Google Patents
一种web应用系统信息安全框架的实现方法及装置 Download PDFInfo
- Publication number
- CN104346573A CN104346573A CN201310330707.4A CN201310330707A CN104346573A CN 104346573 A CN104346573 A CN 104346573A CN 201310330707 A CN201310330707 A CN 201310330707A CN 104346573 A CN104346573 A CN 104346573A
- Authority
- CN
- China
- Prior art keywords
- web
- leak
- application system
- security
- system information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出了一种WEB应用系统信息安全框架的实现方法,包括:编码期防护:在编码期提供WEB安全开发规范及WEB安全API;通过调用WEB安全API以对代码漏洞进行防范处理;编译期防护:在编译期提供编辑环境的插件,插件用于检查WEB安全开发规范的执行情况及WEB安全API的调用情况;部署期防护:在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;运行期防护:在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。本发明还涉及一种实现上述方法的装置。实施本发明的WEB应用系统信息安全框架的实现方法及装置,具有以下有益效果:能对漏洞进行全面防护,提高应用系统的安全性。
Description
技术领域
本发明涉及互联网领域,特别是指一种WEB应用系统信息安全框架的实现方法及装置。
背景技术
随着信息技术的不断发展,计算机安全的研究范围也越来越广,计算机安全关注的重点也是从最初的操作系统的安全机制、网络安全技术(如防火墙、入侵检测等)研究发展到了对应用安全(如编写安全的应用程序)和内容安全(防止垃圾邮件和间谍,广告软件)的研究。应用安全,就是需要我们从应用层面来考虑软件系统本身的安全问题,包含两方面的含义:一是构建安全的应用软件,就是在软件的设计、开发、部署和维护中防止安全漏斗;二是保护软件的安全运行以及防止逆向工程,比如,模糊化软件代码防止逆向工程,正确检查程序的输入参数,防止输入数据的安全威胁。
WEB应用系统安全术语应用安全的范畴,有狭义定义和广义定义。狭义的WEB应用安全只关注WEB应用代码的安全问题,广义的WEB应用安全涉及整个应用层,包括数据库、WEB服务器、应用服务器、应用层协议和自行编写的WEB应用代码。现有技术中,同类应用防火墙只防护软件项目的运行期,而在软件项目的编码期、编译期和部署期未进行安全漏洞的防御,无法对漏洞进行全面的防护。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述对漏洞不能进行全面防护的缺陷,提供一种能对漏洞进行全面防护的WEB应用系统信息安全框架的实现方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种WEB应用系统信息安全框架的实现方法,包括如下部分:
编码期防护:在编码期提供WEB安全开发规范及WEB安全API;所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞;所述WEB安全API提供对现有安全漏洞的防范处理;通过调用所述WEB安全API以对代码漏洞进行防范处理;
编译期防护:在编译期提供编辑环境的插件,所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况;
部署期防护:在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的;
运行期防护:在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。
在本发明所述的WEB应用系统信息安全框架的实现方法中,所述WEB安全开发规范采用文档形式,所述WEB安全API采用DLL形式。
在本发明所述的WEB应用系统信息安全框架的实现方法中,所述编译期防护进一步包括如下步骤:
A)捕捉编码期类库或配置规则;
B)判断当前项目编码是否应该调用WEB安全API,如是,执行步骤C),否则,返回步骤A);
C)判断是否调用了WEB安全API,如是,返回步骤A);否则,发出警告以提醒开发者进行调用。
在本发明所述的WEB应用系统信息安全框架的实现方法中,在所述部署期防护中,对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复,对扫描的新漏洞采用新设计的修复方式进行修复。
在本发明所述的WEB应用系统信息安全框架的实现方法中,在所述运行期防护中,所述插件形式为以ASP.NET的HTTPModuel插件形式,WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截;在所述输入拦截中,对所有输入请求内容进行安全规则的数据校验;在所述输出拦截中,对所有输出内容进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头进行检查。
本发明还涉及一种实现上述WEB应用系统信息安全框架的实现方法的装置,包括:
编码期防护模块:用于在编码期提供WEB安全开发规范及WEB安全API;所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞;所述WEB安全API提供对现有安全漏洞的防范处理;通过调用所述WEB安全API以对代码漏洞进行防范处理;
编译期防护模块:用于在编译期提供编辑环境的插件,所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况;
部署期防护模块:用于在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的;
运行期防护模块:用于在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。
在本发明所述的实现上述WEB应用系统信息安全框架的实现方法的装置中,所述WEB安全开发规范采用文档形式,所述WEB安全API采用DLL形式。
在本发明所述的实现上述WEB应用系统信息安全框架的实现方法的装置中,所述编译期防护模块进一步包括:
捕捉单元:用于捕捉编码期类库或配置规则;
编码判断单元:用于判断当前项目编码是否应该调用WEB安全API;
调用判断单元:用于判断是否调用了WEB安全API,并在未调用时发出警告以提醒开发者进行调用。
在本发明所述的实现上述WEB应用系统信息安全框架的实现方法的装置中,在所述部署期防护中,对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复,对扫描的新漏洞采用新设计的修复方式进行修复。
在本发明所述的实现上述WEB应用系统信息安全框架的实现方法的装置中,在所述运行期防护中,所述插件形式为以ASP.NET的HTTPModuel插件形式,WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截;在所述输入拦截中,对所有输入请求内容进行安全规则的数据校验;在所述输出拦截中,对所有输出内容进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头进行检查。
实施本发明的WEB应用系统信息安全框架的实现方法及装置,具有以下有益效果: 由于在编码期由WEB安全开发规范指出开发时需要考虑的安全漏洞,由WEB安全API提供对现有安全漏洞的防范处理;通过调用WEB安全API以对代码漏洞进行防范处理;在编译期提供编辑环境的插件,用于检查WEB安全开发规范的执行情况及WEB安全API的调用情况;在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;在运行期以插件形式对请求的输入内容及输出内容进行安全规则的数据校验;所以其在软件生命周期的四个阶段都进行了防护,在编码期、编译期、部署期尽量减少安全风险,从源头上减少安全漏洞,在运行期防御安全漏洞,所以其能对漏洞进行全面防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明WEB应用系统信息安全框架的实现方法及装置一个实施例中方法的流程图;
图2为所述实施例中编译期防护的流程图;
图3为所述实施例中装置的结构示意图;
图4是所述实施例中编码期的整体架构图;
图5是所述实施例中运行期的整体架构图;
图6是所述实施例中运行期安全层的界面图;
图7是所述实施例中运行期安全层的结构示意图;
图8是所述实施例中运营支撑平台的界面图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明WEB应用系统信息安全框架的实现方法及装置实施例中,其实现方法的流程图如图1所示。本实施例中,为了方便描述,对漏洞划分了种类。通过对数十个已上线WEB应用系统的漏洞安全报告进行分析,将漏洞划分为三类:业务型代码漏洞(由代码的业务逻辑缺陷引入的漏洞,例如权限控制)、数据型代码漏洞(由代码的数据输入/输出检查缺陷引用的漏洞,如SQL注入)、配置漏洞(由操作系统配置、IIS配置、WEB系统配置引入的漏洞)。下面对本实施例中的WEB应用系统信息安全框架的实现方法进行具体介绍。
图1中,该WEB应用系统信息安全框架的实现方法包括如下部分:
编码期防护:在编码期提供WEB安全开发规范及WEB安全API;WEB安全开发规范采用文档形式,WEB安全API采用DLL形式。WEB安全开发规范用于指出开发时需要考虑的安全漏洞;WEB安全API提供对现有安全漏洞的防范处理;当出现漏洞时,通过调用WEB安全API以对代码漏洞进行防范处理,这样可提高WEB安全编码水平。具体来讲,编码期安全防护处于整体安全框架“编码期、编译期、部署期、运行期”四个阶段中第一个安全防御的阶段。编码期安全防护主要是针对新建设、重构、XX期建设项目,从代码的基础上解决安全漏洞问题,提高项目安全质量。由于安全框架不能通过API指定具体的方法来解决安全漏洞问题,而只能通过规范方式规避安全漏洞,所以在编码期以文档形式提供了WEB安全开发规范,用于指明开发时需要考虑的安全漏洞,特别是业务型代码漏洞,以降低开发人员对安全漏洞的预知能力以及了解深度的要求。值得一提的是,在安全框架的建设中,经过对安全漏洞及对漏洞修复处理方法的收集,经过梳理整理成相关的安全规范,由此即得到WEB安全开发规范。此外,在编码期还以DLL形式提供防护API开发包(WEB安全API),解决信息泄露、会话安全、XSS、CSRF、SQL注入、框架钓鱼、文件伪造、输出内容较验等常见安全漏洞,以WEB安全API提供对现有代码漏洞的防范处理,由开发人员进行调用,以降低开发的WEB安全处理成本。WEB安全API提供了完整的相关的案例、效果展示站点(也可作为测试站点)、帮助文档等资料,通过demo站点来演示各种API的使用方法,给使用人员提供了帮助。
编译期防护:在编译期提供编辑环境的插件,该插件用于检查WEB安全开发规范的执行情况及WEB安全API的调用情况;这样可了解项目编码的WEB安全处理的覆盖情况,以“白盒”形式了解项目的WEB安全程度。编译期安全防护主要是对编码期的检查,从代码级逐步完善代码质量的过程。编译期安全防护与编码期使用场景相同,也是针对新建设、重构、XX期建设项目,在编译检查代码的基础上来解决安全漏洞问题,提高项目安全质量。关于编译期如何进行防护,稍后会加以详细描述。
部署期防护:在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;对已知配置漏洞提供自动扫描功能,这样既可确保WEB应用系统的部署环境总是安全的。配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的,这样就使得配置漏洞的扫描与WEB应用系统的运行都是独立的,使扫描与应用系统的正常使用不会发生冲突;以漏洞修复知识库的形式来保存、规范修复的操作;以WMI等远程检查技术,形成集中部署、集中管理、分布式扫描的机制。部署期安全防护主要是针对WEB应用系统生产环境服务器部署环境的安全问题,重点解决IIS服务器和WINDOW OS的安全。各个应用系统集中部署、配置操作为可视化操作、规律性扫描安全漏洞。在部署期经过不断的验证,建立部署安全规范、标准化、系统化。在部署期,每个WEB应用系统都存在内嵌模块,只会影响相关的WEB应用系统,不影响无关的WEB应用系统,以保证影响面最小。
值得一提的是,漏洞可以分为三类,现有漏洞、变种漏洞、新漏洞。在部署期防护中,对扫描的现有漏洞或其类似漏洞采用漏洞修复知识库中的已有处理方式进行修复,对扫描的新漏洞或变种漏洞采用新设计的修复方式进行修复。漏洞修复知识库中存储着安全漏洞名称及对应的修复方式,如果扫描到新漏洞或变种漏洞,通过对安全规则的升级或调整,达到对新漏洞或变种漏洞的处理。将升级或调整后的修复方式保存到漏洞修复知识库中,待以后再扫描到该新漏洞或变种漏洞时,可直接调用漏洞修复知识库中的修复方式进行修复。
运行期防护:在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。在运行期防护中,以ASP.NET的HTTPModuel插件形式拦截WEB请求的输入及输出,并依据数据的安全规则检查漏洞的可能性及附加所需的安全HTTP头。现有的同类应用防火墙只能对http请求的输入做检查,不能对http请求的输出进行检查,这样就无法对已潜伏在WEB应用系统内的漏洞进行处理;而本发明不仅对http输入的请求进行检查,而且还对http响应的内容进行安全检查,这样可达到对潜伏漏洞的处理。具体来讲,在“请求->服务器处理->回应”的WEB请求处理过程中,增加一头一尾的拦截机制,形成“(输入拦截)->请求->服务器处理->回应->(输出拦截)”的WEB请求处理过程。在输入拦截中,对所有输入请求内容(例如HTTP头、HTTP体、URL等内容)进行安全规则的数据校验;在输出拦截中,对所有输出内容(例如HTTP头,输出的HTML等内容)进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头(例如X-Frame-Options)进行检查。通过安全规则的配置,在WEB应用系统处理请求的处理过程中过滤危险数据,对输出数据进行检查,防止漏洞的数据迁移。
运行期安全主要针对正在生产环境使用的应用系统,如果在系统开发阶段没有做编码期及编译期安全漏洞处理,则无法通过更新代码、发布更新包的方式处理安全漏洞或对当前应用系统还未出现的安全漏洞做防御工作。运行期安全层包括“内容监控层”和“HTTP协议层”(请参见图7),其运行期安全层的结构以后还可以再增加。客户端与服务器端的交流通过“内容监控层”和“HTTP协议层”进行交流,通过HTTP请求中的数据及请求头发现特征的漏洞;通过HTTP回应中的数据及应答头体现漏洞对应的安全处理措施。应用防护技术、动态配置技术、WEB服务器构成了WEB应用的基础架构。通过运行期安全层的内嵌模块达到了集中管理、差异配置的核心解决技术。从客户端发出的WEB请求必须通过我们的核心内嵌模块进行过滤,每一个返回用户请求的WEB响应,都需要经过配置比对确保流出WEB的文件都是原始的。
图2为本实施例中编译期防护的流程图,图2中,编译期防护进一步包括如下步骤:
步骤S1 捕捉编码期类库或配置规则:本步骤中,捕捉编码期的类库或配置规则。
步骤S2 判断当前项目编码是否应该调用WEB安全API:本步骤中,判断当前项目编码是否应该调用WEB安全API,具体通过判断判断当前项目编码是否存在安全漏洞,如存在安全漏洞,则认为当前项目编码应该调用WEB安全API。本步骤中,如果判断的结果为是,即当前项目编码应该调用WEB安全API,则执行步骤S3;否则,返回步骤S1。
步骤S3判断是否调用了WEB安全API:如果上述步骤S2的判断结果为是,则执行本步骤。本步骤中,判断开发者是否调用了WEB安全API,如是,返回步骤S1;否则,发出警告以提醒开发者进行调用。
本实施例还涉及一种实现上述WEB应用系统信息安全框架的实现方法的装置,其结构示意图如图3所示。图3中,该装置包括编码期防护模块1、编译期防护模块2、部署期防护模块3和运行期防护模块4;其中,编码期防护模块1用于在编码期提供WEB安全开发规范及WEB安全API;WEB安全开发规范用于指出开发时需要考虑的安全漏洞;WEB安全API提供对现有安全漏洞的防范处理;通过调用WEB安全API以对代码漏洞进行防范处理;编译期防护模块2用于在编译期提供编辑环境的插件,插件用于检查WEB安全开发规范的执行情况及WEB安全API的调用情况;部署期防护模块3用于在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的;运行期防护模块4用于在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。
值得一提的是,上述WEB安全开发规范采用文档形式,WEB安全API采用DLL形式。编码期防护模块1包括两部分产出:1)以DLL形式提供的防护API开发包(WEB安全API),用于解决信息泄露、会话安全、XSS、CSRF、SQL注入、框架钓鱼、文件伪造、输出内容较验等常见的安全漏洞;2)以文档形式提供的WEB安全开发规范,用于规避安全漏洞,通过demo站点来演示各种API的使用方法。在部署期防护中,对扫描的已有漏洞或其类似漏洞采用知识库中的已有处理方式进行修复,对扫描的新漏洞采用新设计的修复方式进行修复。在运行期防护中,上述插件形式为以ASP.NET的HTTPModuel插件形式,WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截;在输入拦截中,对所有输入请求内容进行安全规则的数据校验;在输出拦截中,对所有输出内容进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头进行检查。
本实施例中,上述编译期防护模块2进一步包括捕捉单元21、编码判断单元22和调用判断单元23;其中,捕捉单元21用于捕捉编码期类库或配置规则;编码判断单元22用于判断当前项目编码是否应该调用WEB安全API;调用判断单元23用于判断是否调用了WEB安全API,并在未调用时发出警告以提醒开发者进行调用。
图4是本实施例中编码期的整体架构图;图5是本实施例中运行期的整体架构图;图6是本实施例中运行期安全层的界面图;图6中,由下向上推,由不涉及目标配置、在项目编码之外—>非静态环境下,则需要在运行时处理;不影响项目运行—>包装层处理;未上线的项目,则尽可能自已做漏洞处理,其针对性更强、性能更好;在运行期执行的安全层,针对已上线项目处理漏洞,并能扩展到支持将来的漏洞处理;对于未上线项目,出于性能、有效性等考虑,尽量在项目内解决。
图7是本实施例中运行期安全层的结构示意图;图8是本实施例中运营支撑平台的界面图;图8中,运营支撑平台是用于集中统一管理、展现整体安全框架“编码期、编译期、部署期、运行期”四个阶段的建设成果。主要面向开发商、运维人员、项目负责人以及想了解安全知识的用户群体。其以网站的形式向用户群体提供安全框架API、WEB安全开发规范、相关文档、功能效果展示、意见反馈、最新安全漏洞信息等的运营服务支撑工作。只有WEB应用系统初始部署时需要单独设置,规则更新则可以统一更新,运行支撑系统则将会负责统一更新,统一规则管理等,以及安全运营的集中管理、分析、统计等。
总之,在本实施例中,上述安全框架是基于软件生命周期四个阶段的考虑,也是处于安全机制上的考虑。黑客攻击的手段主要是在WEB应用层采取攻击,但我们不能只在运行期防御就可以对其完全防御。而是应该在最基本的代码编写、代码编译阶段就要对安全进行考虑,例如SQL的注入,在应用程序架构设计就需要考虑,而不能等到系统上线时候才发现此漏洞,那么不管运行期安全漏洞的防御是多么的强大,也很容易被黑客攻破,这些黑客撰写数据或者窃取用户信息,其后果不可设想。编码期、编译期、部署期从根本上解决了部分安全漏洞问题,那么在运行期再加上一层保护壳,应用系统的安全则更加牢固,所以安全机制是在编码期、编译期、部署期和运行期不断完善的过程。随着网站攻击越来越密集,网站漏洞安全的威胁也进一步扩展,不断产生新的安全漏洞,安全框架需要收集并且采用新的安全技术,以满足系统对安全漏洞防御的需要。
安全框架的建设是在软件生命周期的编码期、编译期、部署期和运行期不断完善安全机制,能对网站提供有效的攻击防御,尤其是提供针对WEB漏洞攻击的精确阻断功能,为应用系统提供最佳防御保护。安全框架收集并整理相关的安全漏洞信息,以WEB安全API和WEB安全开发规范的形式提供给开发商,并提供相关完整性指导,不需要开发人员对安全漏洞知识有过多的了解,只需要了解怎样使用安全框架规避、解决安全漏洞方法,所以其降低了开发人员对安全漏洞知识掌握能力的要求。各个开发商不需要再为怎样解决安全漏洞而投入大量的时间和经历去研究,只需要研究安全框架提供的开放的WEB安全API和WEB安全开发规范文档,规避安全漏洞信息,所以其降低了成本,提高了项目安全质量。
对于在上述四个阶段防御安全漏洞其相关的配置文档及处理方式,开发人员、运维人员等使用者在使用时参考相关的案例和帮助文档能够非常快速的使用安全框架,在开发人员和运维人员所接受的知识范围使用安全框架,且在使用时可以灵活的选择操作文档的配置和处理方式,其操作比较灵活。
安全框架在设计时需要考虑可扩展性,随着黑客攻击的手段越来越多,WEB漏洞也可能会出现新的漏洞,那么就需要安全框架支持修复新的漏洞问题,支持功能的扩展。现有技术中的同类应用防火墙不支持插件的扩展,无法解决新漏洞、变种漏洞,本发明支持内容匹配及正则匹配,但对于一些无法用正则匹配就能检查出来的漏洞,需要编码支持的检查,安全框架还支持规则插件的插入,并支持符合插件标准的第三方插件插入,这样就可以有针对性的解决新漏洞和变种漏洞。
本发明不仅对请求的原始数据进行检查,而且对进入了请求管道的内容,以及已转化为ASP.NET控件数据的内容进行检查。在编码期、运行期通过配置规则进行检查,可以灵活的配置规则,可以选取不同的配置规则方案,其规则针对的漏洞都更贴近用户;以上传假冒文件为例,目前同类应用防火墙针对的是假冒文件类型,但漏洞风险还来源于假冒文件内容,例如txt、js文件,本质上都是文本文件,无法从文件类型相关的特征来进行区分,必须对文件内容进行漏匹配,而安全框架不仅对文件的真实类型进行检查,还对文件的内容进行安全性检查。安全框架对生命周期各个阶段提供不同的解决方案,从根本上解决漏洞。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种WEB应用系统信息安全框架的实现方法,其特征在于,包括如下
部分:
编码期防护:在编码期提供WEB安全开发规范及WEB安全API;所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞;所述WEB安全API提供对现有安全漏洞的防范处理;通过调用所述WEB安全API以对代码漏洞进行防范处理;
编译期防护:在编译期提供编辑环境的插件,所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况;
部署期防护:在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的;
运行期防护:在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。
2.根据权利要求1所述的WEB应用系统信息安全框架的实现方法,其特
征在于,所述WEB安全开发规范采用文档形式,所述WEB安全API采用DLL形式。
3.根据权利要求2所述的WEB应用系统信息安全框架的实现方法,其特
征在于,所述编译期防护进一步包括如下步骤:
A)捕捉编码期类库或配置规则;
B)判断当前项目编码是否应该调用WEB安全API,如是,执行步骤C),否则,返回步骤A);
C)判断是否调用了WEB安全API,如是,返回步骤A);否则,发出警告以提醒开发者进行调用。
4.根据权利要求3所述的WEB应用系统信息安全框架的实现方法,其特
征在于,在所述部署期防护中,对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复,对扫描的新漏洞采用新设计的修复方式进行修复。
5.根据权利要求1至4任意一项所述的WEB应用系统信息安全框架的实
现方法,其特征在于,在所述运行期防护中,所述插件形式为以ASP.NET的HTTPModuel插件形式,WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截;在所述输入拦截中,对所有输入请求内容进行安全规则的数据校验;在所述输出拦截中,对所有输出内容进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头进行检查。
6.一种实现如权利要求1所述WEB应用系统信息安全框架的实现方法的
装置,其特征在于,包括:
编码期防护模块:用于在编码期提供WEB安全开发规范及WEB安全API;所述WEB安全开发规范用于指出开发时需要考虑的安全漏洞;所述WEB安全API提供对现有安全漏洞的防范处理;通过调用所述WEB安全API以对代码漏洞进行防范处理;
编译期防护模块:用于在编译期提供编辑环境的插件,所述插件用于检查所述WEB安全开发规范的执行情况及WEB安全API的调用情况;
部署期防护模块:用于在部署期提供部署环境的已知配置漏洞的扫描,以及漏洞处理的知识库管理;所述配置漏洞的扫描是以不涉及WEB应用系统运行的方式进行扫描的;
运行期防护模块:用于在运行期,以插件形式对请求的输入内容及输出内容进行安全规则的数据校验。
7.根据权利要求6所述的利用上述WEB应用系统信息安全框架的实现方
法的装置,其特征在于,所述WEB安全开发规范采用文档形式,所述WEB安全API采用DLL形式。
8.根据权利要求7所述的利用上述WEB应用系统信息安全框架的实现方
法的装置,其特征在于,所述编译期防护模块进一步包括:
捕捉单元:用于捕捉编码期类库或配置规则;
编码判断单元:用于判断当前项目编码是否应该调用WEB安全API;
调用判断单元:用于判断是否调用了WEB安全API,并在未调用时发出警告以提醒开发者进行调用。
9.根据权利要求8所述的利用上述WEB应用系统信息安全框架的实现方
法的装置,其特征在于,在所述部署期防护中,对扫描的已有漏洞或其类似漏洞采用所述知识库中的已有处理方式进行修复,对扫描的新漏洞采用新设计的修复方式进行修复。
10. 根据权利要求6至9任意一项所述的利用上述WEB应用系统信息安全
框架的实现方法的装置,其特征在于,在所述运行期防护中,所述插件形式为以ASP.NET的HTTPModuel插件形式,WEB请求处理过程为输入拦截-请求-服务器处理-回应-输出拦截;在所述输入拦截中,对所有输入请求内容进行安全规则的数据校验;在所述输出拦截中,对所有输出内容进行安全规则的数据校验,并根据配置要求,对输出安全所需的附加HTTP头进行检查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310330707.4A CN104346573A (zh) | 2013-07-31 | 2013-07-31 | 一种web应用系统信息安全框架的实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310330707.4A CN104346573A (zh) | 2013-07-31 | 2013-07-31 | 一种web应用系统信息安全框架的实现方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104346573A true CN104346573A (zh) | 2015-02-11 |
Family
ID=52502153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310330707.4A Pending CN104346573A (zh) | 2013-07-31 | 2013-07-31 | 一种web应用系统信息安全框架的实现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104346573A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105184163A (zh) * | 2015-08-31 | 2015-12-23 | 小米科技有限责任公司 | 软件系统的安全防护方法及装置 |
| CN107528860A (zh) * | 2017-10-12 | 2017-12-29 | 中国科学院计算机网络信息中心 | 网络安全测试方法、系统及存储介质 |
| CN110119616A (zh) * | 2019-04-18 | 2019-08-13 | 广州市品高软件股份有限公司 | Web应用安全防护系统 |
| CN110971606A (zh) * | 2019-12-05 | 2020-04-07 | 武汉大学 | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 |
| CN113239365A (zh) * | 2021-07-12 | 2021-08-10 | 深圳市永达电子信息股份有限公司 | 一种基于知识图谱的漏洞修复方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011091558A1 (zh) * | 2010-01-13 | 2011-08-04 | Liu Wenxiang | 网络业务 |
| CN102750469A (zh) * | 2012-05-18 | 2012-10-24 | 北京邮电大学 | 一种基于开放平台的安全检测系统及其检测方法 |
| CN103116543A (zh) * | 2013-01-25 | 2013-05-22 | 中国电力科学研究院 | 白黑盒结合的Web应用安全检测方法 |
-
2013
- 2013-07-31 CN CN201310330707.4A patent/CN104346573A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011091558A1 (zh) * | 2010-01-13 | 2011-08-04 | Liu Wenxiang | 网络业务 |
| CN102750469A (zh) * | 2012-05-18 | 2012-10-24 | 北京邮电大学 | 一种基于开放平台的安全检测系统及其检测方法 |
| CN103116543A (zh) * | 2013-01-25 | 2013-05-22 | 中国电力科学研究院 | 白黑盒结合的Web应用安全检测方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105184163A (zh) * | 2015-08-31 | 2015-12-23 | 小米科技有限责任公司 | 软件系统的安全防护方法及装置 |
| CN107528860A (zh) * | 2017-10-12 | 2017-12-29 | 中国科学院计算机网络信息中心 | 网络安全测试方法、系统及存储介质 |
| CN110119616A (zh) * | 2019-04-18 | 2019-08-13 | 广州市品高软件股份有限公司 | Web应用安全防护系统 |
| CN110119616B (zh) * | 2019-04-18 | 2021-05-28 | 广州市品高软件股份有限公司 | Web应用安全防护系统 |
| CN110971606A (zh) * | 2019-12-05 | 2020-04-07 | 武汉大学 | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 |
| CN113239365A (zh) * | 2021-07-12 | 2021-08-10 | 深圳市永达电子信息股份有限公司 | 一种基于知识图谱的漏洞修复方法 |
| CN113239365B (zh) * | 2021-07-12 | 2021-10-26 | 深圳市永达电子信息股份有限公司 | 一种基于知识图谱的漏洞修复方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumari et al. | Verification and validation techniques for streaming big data analytics in internet of things environment | |
| Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN103761479B (zh) | 恶意程序的扫描方法和装置 | |
| CN106534195A (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| CN104346573A (zh) | 一种web应用系统信息安全框架的实现方法及装置 | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN111400722A (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| Wong et al. | On the security of containers: Threat modeling, attack analysis, and mitigation strategies | |
| CN104683394A (zh) | 新技术的云计算平台数据库基准测试系统及其方法 | |
| CN110955897A (zh) | 基于大数据的软件研发安全管控可视化方法及系统 | |
| US20230319112A1 (en) | Admission control in a containerized computing environment | |
| Vu et al. | Bad snakes: Understanding and improving python package index malware scanning | |
| CN103368927A (zh) | 一种安全配置核查设备和方法 | |
| Ревнюк et al. | The improvement of web-application SDL process to prevent Insecure Design vulnerabilities | |
| Cheminod et al. | Detecting chains of vulnerabilities in industrial networks | |
| Faruk et al. | Investigating novel approaches to defend software supply chain attacks | |
| Zhu et al. | Detecting privilege escalation attacks through instrumenting web application source code | |
| Larrucea et al. | Assessing source code vulnerabilities in a cloud‐based system for health systems: OpenNCP | |
| Cruz et al. | Open source solutions for vulnerability assessment: A comparative analysis | |
| CN105978908A (zh) | 一种非实时信息网站安全保护方法和装置 | |
| Martínez et al. | A model-driven approach for the extraction of network access-control policies | |
| Loupos et al. | Cognition enabled IoT platform for industrial IoT safety, security and privacy—The chariot project | |
| Tan et al. | Attack provenance tracing in cyberspace: Solutions, challenges and future directions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20180504 |