CN104753880A - 一种主动防御的web防火墙实现方法 - Google Patents

一种主动防御的web防火墙实现方法 Download PDF

Info

Publication number
CN104753880A
CN104753880A CN201310746608.4A CN201310746608A CN104753880A CN 104753880 A CN104753880 A CN 104753880A CN 201310746608 A CN201310746608 A CN 201310746608A CN 104753880 A CN104753880 A CN 104753880A
Authority
CN
China
Prior art keywords
web
page
web service
content
fire compartment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310746608.4A
Other languages
English (en)
Inventor
王彦杰
掌晓愚
任伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GEER SOFTWARE CO Ltd SHANGHAI
Original Assignee
GEER SOFTWARE CO Ltd SHANGHAI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GEER SOFTWARE CO Ltd SHANGHAI filed Critical GEER SOFTWARE CO Ltd SHANGHAI
Priority to CN201310746608.4A priority Critical patent/CN104753880A/zh
Publication of CN104753880A publication Critical patent/CN104753880A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种主动防御的WEB防火墙实现方法,其利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。本发明能够有效地增加攻击者的入侵难度,提高WEB防护的能力。

Description

一种主动防御的WEB防火墙实现方法
技术领域
本发明属于网络安全技术,具体涉及WEB防火墙技术。
背景技术
对外提供服务的WEB服务,一般存在大量的表单,需要由用户提交数据到服务器进行验证处理。如果WEB服务对提交的数据验证不严格,则会留下潜在的漏洞,外部人员可以构造表单数据对服务进行攻击,如SQL注入或XSS攻击。
常见的WEB防火墙是通过检测浏览器(客户端)提交的请求是否包含某些攻击的特征-比如超大字段,SQL注入,XSS脚本等,这样的实现比较被动。尤其对于一些固有缺陷的应用,这类防护的作用有限。
由此可见提高WEB防火墙的防护能力是本领域亟需解决的技术问题。
发明内容
针对现有WEB防火墙防护能力有限,而无法有效防护一些固有缺陷应用的问题,本发明的目的在于提供提一种采用主动防御的WEB防火墙实现方法,以此有效地增加攻击者的入侵难度,提高WEB防护的能力。
为了达到上述目的,本发明采用如下的技术方案:
一种主动防御的WEB防火墙实现方法,该方法利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。
在本方案的优选实例中,所述方法中通过透明代理对WEB服务进行代理。
进一步的,所述方法中利用WEB防火墙对WEB服务返回页面内容检查是否需要进行安全加固;再者,WEB防火墙改造WEB服务返回页面,构造防护脚本嵌入到原始页面中。
本发明利用代理技术,当代理服务收到WEB服务返回的页面内容,通过主动修改页面内容,或嵌入防护脚本的方式对提交数据进行处理,从而达到主动防御的效果。相对于现有技术具有如下优点:
1、对WEB应用透明;
2、可以针对应用特点进行个人化设计;
3、有效地增加攻击者的入侵难度,提高WEB防护的能力。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为利用本发明加强页面的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的方法是利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,由此实现对原页面进行安全加固。
WEB防火墙使用七层代理技术,即分析HTTP协议,并对内容进行处理。
基于七层代理技术,可利用WEB防火墙主动修改WEB服务返回的页面内容,对原HTML页面进行安全加固。其具体的实现方案如下:
(1)WEB防火墙检测到WEB服务返回的页面;
(2)WEB防火墙收到WEB服务返回的页面内容,首先WEB防火墙根据自身的配置,对返回页面内容进行内容检查,查看是否有表单需要加固,比如是否存在明文的密码提交,是否缺少对输入项的格式检查;
(3)如果有表单需要加固,WEB防火墙就根据自身配置,生成合适的JavaScript防护脚本,动态修改页面内容并嵌入防护脚本(如JavaScript脚本)到页面中;
(4)WEB防火墙返回修改过的页面到浏览器客户端;
(5)用户在浏览器中正常填写表单内容并提交,此时通过被修改后的页面内容,或触发防护脚本对输入项进行检查/加密;
(6)防护脚本处理完毕后,则按原有流程提交到WEB防火墙,转发到WEB服务器,检查失败则在客户端进行拦截。
参见图1,其所示为基于方案进行页面加强实现主动防御的流程图。整个实施过程如下:
(1)IE浏览器向WEB服务器发起获取页面请求(即HTTP访问请求)。
(2)WEB防火墙转发请求到WEB服务器。
(3)WEB服务器处理请求,返回带表单的响应页面到WEB防火墙。
(4)WEB防火墙收到WEB服务器返回的页面,并根据自身配置,生成合适的JavaScript防护脚本,动态修改页面内容并嵌入防护脚本到页面中。
(5)WEB防火墙返回修改后的页面到IE浏览器。
(6)IE浏览器收到已修改后(已嵌入防护脚本)的页面,填写表单并提交页面。
(7)触发防护脚本,对表单数据进行检查或数据加密。
(8)防护脚本处理完毕后,并提交至WEB防火墙;如果防护脚本进行了加密,则WEB防火墙进行解密。
(9)WEB防火墙将处理后的数据转发至WEB服务器,WEB服务器处理表单业务。
由上可知,其可实现WEB防火墙的主动防御,可以有效地增加攻击者的入侵难度,提高WEB防护的能力。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (3)

1.一种主动防御的WEB防火墙实现方法,其特征在于,所述方法利用代理技术,对WEB服务进行代理,当代理服务收到WEB服务返回的页面内容,主动修改返回的页面内容,对原页面进行安全加固。
2.根据权利要求1所述的一种主动防御的WEB防火墙实现方法,其特征在于,所述方法中通过透明代理对WEB服务进行代理。
3.根据权利要求1或2所述的一种主动防御的WEB防火墙实现方法,其特征在于,所述方法中利用WEB防火墙对WEB服务返回页面内容检查是否需要进行安全加固;再者,WEB防火墙改造WEB服务返回页面,构造防护脚本嵌入到原始页面中。
CN201310746608.4A 2013-12-30 2013-12-30 一种主动防御的web防火墙实现方法 Pending CN104753880A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310746608.4A CN104753880A (zh) 2013-12-30 2013-12-30 一种主动防御的web防火墙实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310746608.4A CN104753880A (zh) 2013-12-30 2013-12-30 一种主动防御的web防火墙实现方法

Publications (1)

Publication Number Publication Date
CN104753880A true CN104753880A (zh) 2015-07-01

Family

ID=53592998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310746608.4A Pending CN104753880A (zh) 2013-12-30 2013-12-30 一种主动防御的web防火墙实现方法

Country Status (1)

Country Link
CN (1) CN104753880A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381049A (zh) * 2019-07-12 2019-10-25 浙江智贝信息科技有限公司 一种web动态安全防御方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572696A (zh) * 2008-04-29 2009-11-04 华为技术有限公司 一种网页表单数据验证的方法和装置
CN101631108A (zh) * 2008-07-16 2010-01-20 国际商业机器公司 为网络服务器的防火墙产生规则文件的方法和系统
CN103067361A (zh) * 2012-12-18 2013-04-24 蓝盾信息安全技术股份有限公司 一种智能收集Web应用防火墙白名单的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572696A (zh) * 2008-04-29 2009-11-04 华为技术有限公司 一种网页表单数据验证的方法和装置
CN101631108A (zh) * 2008-07-16 2010-01-20 国际商业机器公司 为网络服务器的防火墙产生规则文件的方法和系统
CN103067361A (zh) * 2012-12-18 2013-04-24 蓝盾信息安全技术股份有限公司 一种智能收集Web应用防火墙白名单的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381049A (zh) * 2019-07-12 2019-10-25 浙江智贝信息科技有限公司 一种web动态安全防御方法和系统

Similar Documents

Publication Publication Date Title
US11126749B2 (en) Apparatus and method for securing web application server source code
Sigler Crypto-jacking: how cyber-criminals are exploiting the crypto-currency boom
Zhou et al. An ever-evolving game: Evaluation of real-world attacks and defenses in ethereum ecosystem
US9602543B2 (en) Client/server polymorphism using polymorphic hooks
Mao et al. Defeating cross-site request forgery attacks with browser-enforced authenticity protection
US8910247B2 (en) Cross-site scripting prevention in dynamic content
WO2017101865A1 (zh) 一种数据处理方法和装置
CN104601540B (zh) 一种跨站脚本XSS攻击防御方法及Web服务器
CN104217173A (zh) 一种针对浏览器的数据和文件加密方法
Putthacharoen et al. Protecting cookies from cross site script attacks using dynamic cookies rewriting technique
WO2018068366A1 (zh) 预防xss攻击的方法
US20130160132A1 (en) Cross-site request forgery protection
CN107276986B (zh) 一种通过机器学习保护网站的方法、装置和系统
CN105704120A (zh) 一种基于自学习形式的安全访问网络的方法
Bukhari et al. Reducing attack surface corresponding to Type 1 cross-site scripting attacks using secure development life cycle practices
WO2023045196A1 (zh) 访问请求捕获方法、装置、计算机设备和存储介质
US9251362B2 (en) Medium for storing control program, client apparatus, and control method for client apparatus
KR101452299B1 (ko) 무결성이 보장되는 프로그램 코드를 이용한 보안 방법 및 서버
CN104753880A (zh) 一种主动防御的web防火墙实现方法
CN104821949A (zh) 基于签名的sql防篡改保护方法
Kerschbaumer et al. Towards precise and efficient information flow control in web browsers
Lekies et al. A tale of the weaknesses of current client-side XSS filtering
CN105138917A (zh) 恶意网页的防御方法
CN103618721A (zh) 防范跨站脚本攻击xss安全服务
CN105337792A (zh) 网络攻击有效性的检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Applicant after: Geer software Limited by Share Ltd

Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai.

Applicant before: Geer Software Co., Ltd., Shanghai

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150701