CN104753880A - 一种主动防御的web防火墙实现方法 - Google Patents
一种主动防御的web防火墙实现方法 Download PDFInfo
- Publication number
- CN104753880A CN104753880A CN201310746608.4A CN201310746608A CN104753880A CN 104753880 A CN104753880 A CN 104753880A CN 201310746608 A CN201310746608 A CN 201310746608A CN 104753880 A CN104753880 A CN 104753880A
- Authority
- CN
- China
- Prior art keywords
- web
- page
- web service
- content
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种主动防御的WEB防火墙实现方法,其利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。本发明能够有效地增加攻击者的入侵难度,提高WEB防护的能力。
Description
技术领域
本发明属于网络安全技术,具体涉及WEB防火墙技术。
背景技术
对外提供服务的WEB服务,一般存在大量的表单,需要由用户提交数据到服务器进行验证处理。如果WEB服务对提交的数据验证不严格,则会留下潜在的漏洞,外部人员可以构造表单数据对服务进行攻击,如SQL注入或XSS攻击。
常见的WEB防火墙是通过检测浏览器(客户端)提交的请求是否包含某些攻击的特征-比如超大字段,SQL注入,XSS脚本等,这样的实现比较被动。尤其对于一些固有缺陷的应用,这类防护的作用有限。
由此可见提高WEB防火墙的防护能力是本领域亟需解决的技术问题。
发明内容
针对现有WEB防火墙防护能力有限,而无法有效防护一些固有缺陷应用的问题,本发明的目的在于提供提一种采用主动防御的WEB防火墙实现方法,以此有效地增加攻击者的入侵难度,提高WEB防护的能力。
为了达到上述目的,本发明采用如下的技术方案:
一种主动防御的WEB防火墙实现方法,该方法利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。
在本方案的优选实例中,所述方法中通过透明代理对WEB服务进行代理。
进一步的,所述方法中利用WEB防火墙对WEB服务返回页面内容检查是否需要进行安全加固;再者,WEB防火墙改造WEB服务返回页面,构造防护脚本嵌入到原始页面中。
本发明利用代理技术,当代理服务收到WEB服务返回的页面内容,通过主动修改页面内容,或嵌入防护脚本的方式对提交数据进行处理,从而达到主动防御的效果。相对于现有技术具有如下优点:
1、对WEB应用透明;
2、可以针对应用特点进行个人化设计;
3、有效地增加攻击者的入侵难度,提高WEB防护的能力。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为利用本发明加强页面的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的方法是利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,由此实现对原页面进行安全加固。
WEB防火墙使用七层代理技术,即分析HTTP协议,并对内容进行处理。
基于七层代理技术,可利用WEB防火墙主动修改WEB服务返回的页面内容,对原HTML页面进行安全加固。其具体的实现方案如下:
(1)WEB防火墙检测到WEB服务返回的页面;
(2)WEB防火墙收到WEB服务返回的页面内容,首先WEB防火墙根据自身的配置,对返回页面内容进行内容检查,查看是否有表单需要加固,比如是否存在明文的密码提交,是否缺少对输入项的格式检查;
(3)如果有表单需要加固,WEB防火墙就根据自身配置,生成合适的JavaScript防护脚本,动态修改页面内容并嵌入防护脚本(如JavaScript脚本)到页面中;
(4)WEB防火墙返回修改过的页面到浏览器客户端;
(5)用户在浏览器中正常填写表单内容并提交,此时通过被修改后的页面内容,或触发防护脚本对输入项进行检查/加密;
(6)防护脚本处理完毕后,则按原有流程提交到WEB防火墙,转发到WEB服务器,检查失败则在客户端进行拦截。
参见图1,其所示为基于方案进行页面加强实现主动防御的流程图。整个实施过程如下:
(1)IE浏览器向WEB服务器发起获取页面请求(即HTTP访问请求)。
(2)WEB防火墙转发请求到WEB服务器。
(3)WEB服务器处理请求,返回带表单的响应页面到WEB防火墙。
(4)WEB防火墙收到WEB服务器返回的页面,并根据自身配置,生成合适的JavaScript防护脚本,动态修改页面内容并嵌入防护脚本到页面中。
(5)WEB防火墙返回修改后的页面到IE浏览器。
(6)IE浏览器收到已修改后(已嵌入防护脚本)的页面,填写表单并提交页面。
(7)触发防护脚本,对表单数据进行检查或数据加密。
(8)防护脚本处理完毕后,并提交至WEB防火墙;如果防护脚本进行了加密,则WEB防火墙进行解密。
(9)WEB防火墙将处理后的数据转发至WEB服务器,WEB服务器处理表单业务。
由上可知,其可实现WEB防火墙的主动防御,可以有效地增加攻击者的入侵难度,提高WEB防护的能力。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种主动防御的WEB防火墙实现方法,其特征在于,所述方法利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。
2.根据权利要求1所述的一种主动防御的WEB防火墙实现方法,其特征在于,所述方法中通过透明代理对WEB服务进行代理。
3.根据权利要求1或2所述的一种主动防御的WEB防火墙实现方法,其特征在于,所述方法中利用WEB防火墙对WEB服务返回页面内容检查是否需要进行安全加固;再者,WEB防火墙改造WEB服务返回页面,构造防护脚本嵌入到原始页面中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310746608.4A CN104753880A (zh) | 2013-12-30 | 2013-12-30 | 一种主动防御的web防火墙实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310746608.4A CN104753880A (zh) | 2013-12-30 | 2013-12-30 | 一种主动防御的web防火墙实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104753880A true CN104753880A (zh) | 2015-07-01 |
Family
ID=53592998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310746608.4A Pending CN104753880A (zh) | 2013-12-30 | 2013-12-30 | 一种主动防御的web防火墙实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104753880A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381049A (zh) * | 2019-07-12 | 2019-10-25 | 浙江智贝信息科技有限公司 | 一种web动态安全防御方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572696A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 一种网页表单数据验证的方法和装置 |
CN101631108A (zh) * | 2008-07-16 | 2010-01-20 | 国际商业机器公司 | 为网络服务器的防火墙产生规则文件的方法和系统 |
CN103067361A (zh) * | 2012-12-18 | 2013-04-24 | 蓝盾信息安全技术股份有限公司 | 一种智能收集Web应用防火墙白名单的方法 |
-
2013
- 2013-12-30 CN CN201310746608.4A patent/CN104753880A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572696A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 一种网页表单数据验证的方法和装置 |
CN101631108A (zh) * | 2008-07-16 | 2010-01-20 | 国际商业机器公司 | 为网络服务器的防火墙产生规则文件的方法和系统 |
CN103067361A (zh) * | 2012-12-18 | 2013-04-24 | 蓝盾信息安全技术股份有限公司 | 一种智能收集Web应用防火墙白名单的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381049A (zh) * | 2019-07-12 | 2019-10-25 | 浙江智贝信息科技有限公司 | 一种web动态安全防御方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11126749B2 (en) | Apparatus and method for securing web application server source code | |
Sigler | Crypto-jacking: how cyber-criminals are exploiting the crypto-currency boom | |
Zhou et al. | An ever-evolving game: Evaluation of real-world attacks and defenses in ethereum ecosystem | |
US9602543B2 (en) | Client/server polymorphism using polymorphic hooks | |
Mao et al. | Defeating cross-site request forgery attacks with browser-enforced authenticity protection | |
US8910247B2 (en) | Cross-site scripting prevention in dynamic content | |
WO2017101865A1 (zh) | 一种数据处理方法和装置 | |
CN104601540B (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
CN104217173A (zh) | 一种针对浏览器的数据和文件加密方法 | |
Putthacharoen et al. | Protecting cookies from cross site script attacks using dynamic cookies rewriting technique | |
WO2018068366A1 (zh) | 预防xss攻击的方法 | |
US20130160132A1 (en) | Cross-site request forgery protection | |
CN107276986B (zh) | 一种通过机器学习保护网站的方法、装置和系统 | |
CN105704120A (zh) | 一种基于自学习形式的安全访问网络的方法 | |
Bukhari et al. | Reducing attack surface corresponding to Type 1 cross-site scripting attacks using secure development life cycle practices | |
WO2023045196A1 (zh) | 访问请求捕获方法、装置、计算机设备和存储介质 | |
US9251362B2 (en) | Medium for storing control program, client apparatus, and control method for client apparatus | |
KR101452299B1 (ko) | 무결성이 보장되는 프로그램 코드를 이용한 보안 방법 및 서버 | |
CN104753880A (zh) | 一种主动防御的web防火墙实现方法 | |
CN104821949A (zh) | 基于签名的sql防篡改保护方法 | |
Kerschbaumer et al. | Towards precise and efficient information flow control in web browsers | |
Lekies et al. | A tale of the weaknesses of current client-side XSS filtering | |
CN105138917A (zh) | 恶意网页的防御方法 | |
CN103618721A (zh) | 防范跨站脚本攻击xss安全服务 | |
CN105337792A (zh) | 网络攻击有效性的检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Applicant after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Applicant before: Geer Software Co., Ltd., Shanghai |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |