CN104394176B - 一种基于强制访问控制机制的webshell防范方法 - Google Patents
一种基于强制访问控制机制的webshell防范方法 Download PDFInfo
- Publication number
- CN104394176B CN104394176B CN201410780733.1A CN201410780733A CN104394176B CN 104394176 B CN104394176 B CN 104394176B CN 201410780733 A CN201410780733 A CN 201410780733A CN 104394176 B CN104394176 B CN 104394176B
- Authority
- CN
- China
- Prior art keywords
- web
- files
- access control
- mandatory access
- webshell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明公开了一种基于强制访问控制机制的webshell防范方法,实施步骤如下:将web文件分类并基于分类建立强制访问控制策略;获取客户端请求的目标web文件的客体标记,如果客体标记为web应用脚本文件则查询强制访问控制策略确定目标web文件对应的权限,并根据查询结果确定是否解析执行目标web文件;如果客体标记为web多媒体文件,则查询强制访问控制策略确定目标web文件对应的权限,并根据查询结果确定是否读取目标web文件。本发明能够使入侵者上传的webshell被禁止解析执行,从而能够阻止入侵者通过webshell实施进一步破坏,webshell防范全面、安全可靠、成本低廉、通用性好。
Description
技术领域
本发明涉及计算机系统的安全访问控制技术领域,具体涉及一种基于强制访问控制机制的webshell防范方法。
背景技术
当前Web应用越来越丰富,为广大用户的工作、生活、娱乐提供了极大地便利,同时Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频发。2012年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)共监测发现我国境内52324个网站被植入后门,其中政府网站3016个,较2011年月均分别增长213.7%和93.1%。植入Webshell是入侵者获取服务器管理权限的重要手段,当入侵者可以成功获得服务器主机的webshell时,入侵者便拥有服务器的部分访问权限,为进一步窃取、破坏数据建立了坚实基础。
当前webshell防范方法主要有如下几种:(1)定期扫描web应用,发现恶意代码。Webshell由于其特殊性,存在一定的特征,综合众多特征对web应用代码进行扫描,针对嫌疑代码进行自动或手动处理。该方法类似于系统上的杀毒软件,只能在出现问题后发现问题,存在一定的延迟,无法及时的阻止入侵者进行破坏。(2)Web应用防护系统(简称WAF)。WAF用来解决诸如防火墙等传统安全设备束手无策的Web应用安全问题,可以对webshell等针对Web的攻击起到很好的防范效果。但WAF基于一定的规则,难免存在漏报和误报,无法准确的定位webshell。此外,WAF往往以一种特定产品提供,价格昂贵,配置使用也需要具有一定的专业技能。综上所述,当前webshell防范方法很难及时、准确阻止入侵者实施攻击。
发明内容
本发明要解决的技术问题是:针对现有技术的上述技术问题,提供一种能够使入侵者上传的webshell被禁止解析执行,从而能够阻止入侵者通过webshell实施进一步破坏,webshell防范全面、安全可靠、成本低廉、通用性好的基于强制访问控制机制的webshell防范方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于强制访问控制机制的webshell防范方法,其实施步骤如下:
1)基于操作系统的强制访问控制机制将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,同时在web服务器运行过程中检测web服务器中新生成的文件,基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件;在操作系统中针对所有web应用脚本文件和web多媒体文件建立强制访问控制策略,所述强制访问控制策略包括每一个web应用脚本文件是否具有解析执行权限的信息和每一个web多媒体文件是否具有只读权限的信息;
2)当客户端向web服务器发起请求时,通过web服务器的web解析器获取客户端所请求的目标web文件的客体标记,如果所述客体标记为web应用脚本文件则跳转执行步骤3),如果所述客体标记为web多媒体文件则跳转执行步骤4);
3)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有解析执行权限,则解析执行所述目标web文件并将结果返回给客户端,如果所述目标web文件不具有解析执行权限,则拒绝解析执行所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出;
4)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有只读权限,则读取所述目标web文件并返回给客户端,如果所述目标web文件不具有只读权限,则拒绝读取所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出。
优选地,所述步骤1)中建立强制访问控制策略时,针对新生成的文件中的web应用脚本文件,其对应的强制访问控制策略默认为不具有解析执行权限。
优选地,所述强制访问控制策略在操作系统中被配置为仅仅具有管理员权限的用户可以修改和添加。
本发明基于强制访问控制机制的webshell防范方法具有下述优点:
1、本发明一方面通过将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,针对web多媒体文件建立的强制访问控制策略而言,每一个web多媒体文件的权限只有是否具有只读权限两种,确保仅有合法的网页的脚本文件被解析执行,另一方面本发明进一步在web服务器运行过程中检测web服务器中新生成的文件,基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,从而有效地针对webshell通常是以新生成的文件形式解析执行,能够使入侵者上传的webshell被禁止解析执行,从而能够阻止入侵者通过webshell实施进一步破坏,通过上述两方面的措施,能够彻底防止以web多媒体文件形式存在的webshell被解析执行,以此来准确、及时达到防范webshell的防护效果,具有webshell防范全面、安全可靠的优点。
2、本发明仅需对现有技术Web服务器的web脚本解析器进行安全扩展,使其具有强制访问控制策略的查询并根据查询结果做不同处理的功能,同时辅以一定的强制访问控制(使得具有web服务器中的web文件客体标记分类功能并建立有强制访问控制策略),便可以实现webshell的防范效果,成本低廉,防护效果良好。
3、本发明的防护依赖于系统的强制访问控制机制实现,各系统的强制访问控制都在系统底层实现,攻击者难以旁路,因此使用本发明的防护机制具有较高的安全性。
4、本发明基于扩展Web服务器的web脚本解析器、并可在支持系统强制访问控制的Linux、Unix、Solaris、Windows多种平台进行应用,支持平台的多样性,具有通用性好的优点。
附图说明
图1为本发明实施例的实施流程示意图。
图2为本发明实施例中web服务器的框架结构示意图。
具体实施方式
如图1所示,本实施例基于强制访问控制机制的webshell防范方法的实施步骤如下:
1)基于操作系统的强制访问控制机制将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,同时在web服务器运行过程中检测web服务器中新生成的文件,基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件;在操作系统中针对所有web应用脚本文件和web多媒体文件建立强制访问控制策略,所述强制访问控制策略包括每一个web应用脚本文件是否具有解析执行权限的信息和每一个web多媒体文件是否具有只读权限的信息;
2)当客户端向web服务器发起请求时,通过web服务器的web解析器获取客户端所请求的目标web文件的客体标记,如果所述客体标记为web应用脚本文件则跳转执行步骤3),如果所述客体标记为web多媒体文件则跳转执行步骤4);
3)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有解析执行权限,则解析执行所述目标web文件并将结果返回给客户端,如果所述目标web文件不具有解析执行权限,则拒绝解析执行所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出;
4)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有只读权限,则读取所述目标web文件并返回给客户端,如果所述目标web文件不具有只读权限,则拒绝读取所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出。
本实施例一方面通过将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,针对web多媒体文件建立的强制访问控制策略而言,每一个web多媒体文件的权限只有是否具有只读权限两种,确保仅有合法的网页的脚本文件被解析执行,另一方面本发明进一步在web服务器运行过程中检测web服务器中新生成的文件,基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,从而有效地针对webshell通常是以新生成的文件形式解析执行,能够使入侵者上传的webshell被禁止解析执行,从而能够阻止入侵者通过webshell实施进一步破坏,通过上述两方面的措施,能够彻底防止webshell被解析执行,以此来准确、及时达到防范webshell的防护效果,具有webshell防范全面、安全可靠的优点。
如图2所示,本实施例针对现有web服务器中的修改涉及两个方面:(一)、在web脚本解析器中增加了web解析器安全扩展,通过web解析器安全扩展执行前述的步骤2)~步骤4)的流程;(二)、在操作系统中增加了强制访问控制机制,通过强制访问控制机制执行前述的步骤1)的流程,强制访问控制机制在系统底层实现,攻击者难以旁路,具有较高的安全性。上述两个部分的修改均实现比较简单方便。
本实施例中,步骤1)中建立强制访问控制策略时,针对新生成的文件中的web应用脚本文件,其对应的强制访问控制策略默认为不具有解析执行权限。如果客户端恶意上传web应用脚本文件形式的webshell,web应用脚本文件并不具有解析执行权限,因此即使上传成功,web服务器的web解析器也不会解析webshell;如果客户端恶意上传web多媒体文件形式的webshell,web多媒体文件并不具有解析执行权限而具有只读权限,因此即使上传成功,web服务器的web解析器也不会解析webshell而只是以静态的方式返回结果,从而能够有效地对webshell进行防范。
本实施例中,强制访问控制策略在操作系统中被配置为仅仅具有管理员权限的用户可以修改和添加,从而能够提高强制访问控制策略的安全性。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (3)
1.一种基于强制访问控制机制的webshell防范方法,其特征在于实施步骤如下:
1)基于操作系统的强制访问控制机制将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件,同时在web服务器运行过程中检测web服务器中新生成的文件,基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件;在操作系统中针对所有web应用脚本文件和web多媒体文件建立强制访问控制策略,所述强制访问控制策略包括每一个web应用脚本文件是否具有解析执行权限的信息和每一个web多媒体文件是否具有只读权限的信息;
2)当客户端向web服务器发起请求时,通过web服务器的web解析器获取客户端所请求的目标web文件的客体标记,如果所述客体标记为web应用脚本文件则跳转执行步骤3),如果所述客体标记为web多媒体文件则跳转执行步骤4);
3)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有解析执行权限,则解析执行所述目标web文件并将结果返回给客户端,如果所述目标web文件不具有解析执行权限,则拒绝解析执行所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出;
4)通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限,如果所述目标web文件具有只读权限,则读取所述目标web文件并返回给客户端,如果所述目标web文件不具有只读权限,则拒绝读取所述目标web文件并返回指定的错误信息给客户端;客户端的请求处理结束并退出。
2.根据权利要求1所述的基于强制访问控制机制的webshell防范方法,其特征在于:所述步骤1)中建立强制访问控制策略时,针对新生成的文件中的web应用脚本文件,其对应的强制访问控制策略默认为不具有解析执行权限。
3.根据权利要求2所述的基于强制访问控制机制的webshell防范方法,其特征在于:所述强制访问控制策略在操作系统中被配置为仅仅具有管理员权限的用户可以修改和添加。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410780733.1A CN104394176B (zh) | 2014-12-17 | 2014-12-17 | 一种基于强制访问控制机制的webshell防范方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410780733.1A CN104394176B (zh) | 2014-12-17 | 2014-12-17 | 一种基于强制访问控制机制的webshell防范方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104394176A CN104394176A (zh) | 2015-03-04 |
| CN104394176B true CN104394176B (zh) | 2018-05-08 |
Family
ID=52612011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410780733.1A Active CN104394176B (zh) | 2014-12-17 | 2014-12-17 | 一种基于强制访问控制机制的webshell防范方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104394176B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100065B (zh) * | 2015-06-26 | 2018-03-16 | 北京奇安信科技有限公司 | 基于云的webshell攻击检测方法、装置及网关 |
| CN107967412B (zh) * | 2017-11-27 | 2020-06-26 | 宝信软件(武汉)有限公司 | 一种控制pdf文件受限访问的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN103581187A (zh) * | 2013-11-05 | 2014-02-12 | 曙光云计算技术有限公司 | 访问权限的控制方法及控制系统 |
| CN103973664A (zh) * | 2013-01-28 | 2014-08-06 | 信息安全有限公司 | 网络木马后门探测/应对系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7861297B2 (en) * | 2005-09-30 | 2010-12-28 | Microsoft Corporation | Reducing security threats from untrusted code |
| CN101448005B (zh) * | 2008-12-24 | 2012-05-02 | 深圳市深信服电子科技有限公司 | 一种在网关进行数据安全检测方法、系统及设备 |
| EP2405622B1 (en) * | 2010-07-08 | 2014-05-14 | Mobile Imaging in Sweden AB | Device communication |
| CN103559441B (zh) * | 2013-10-28 | 2016-04-27 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
| CN103971067B (zh) * | 2014-05-30 | 2015-06-03 | 中国人民解放军国防科学技术大学 | 支持核内外实体的操作系统内核统一访问控制方法 |
| CN104112089B (zh) * | 2014-07-17 | 2017-02-01 | 中国人民解放军国防科学技术大学 | 基于多策略融合的强制访问控制方法 |
-
2014
- 2014-12-17 CN CN201410780733.1A patent/CN104394176B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN103973664A (zh) * | 2013-01-28 | 2014-08-06 | 信息安全有限公司 | 网络木马后门探测/应对系统 |
| CN103581187A (zh) * | 2013-11-05 | 2014-02-12 | 曙光云计算技术有限公司 | 访问权限的控制方法及控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104394176A (zh) | 2015-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gupta et al. | XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud | |
| Wurzinger et al. | SWAP: Mitigating XSS attacks using a reverse proxy | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| US20070136809A1 (en) | Apparatus and method for blocking attack against Web application | |
| CN104601540B (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
| US20140259172A1 (en) | Multilayered Deception for Intrusion Detection and Prevention | |
| US20100251371A1 (en) | Real-time malicious code inhibitor | |
| Nithya et al. | A survey on detection and prevention of cross-site scripting attack | |
| Gupta et al. | XSS‐immune: a Google chrome extension‐based XSS defensive framework for contemporary platforms of web applications | |
| CN103839002A (zh) | 网站源代码恶意链接注入监控方法及装置 | |
| CN107612926B (zh) | 一种基于客户端识别的一句话WebShell拦截方法 | |
| CN102833269B (zh) | 跨站攻击的检测方法、装置和具有该装置的防火墙 | |
| CN105049440A (zh) | 检测跨站脚本攻击注入的方法及系统 | |
| CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
| US10621345B1 (en) | File security using file format validation | |
| CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| Gupta et al. | Enhanced XSS defensive framework for web applications deployed in the virtual machines of cloud computing environment | |
| CN105704120A (zh) | 一种基于自学习形式的安全访问网络的方法 | |
| AU2019223172A1 (en) | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks | |
| Chaudhary et al. | Cross-site scripting (XSS) worms in Online Social Network (OSN): Taxonomy and defensive mechanisms | |
| US9230105B1 (en) | Detecting malicious tampering of web forms | |
| TWI470468B (zh) | 惡意程式及行為偵測的方法及系統 | |
| CN104394176B (zh) | 一种基于强制访问控制机制的webshell防范方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |