CN104954384A - 一种保护Web应用安全的url拟态方法 - Google Patents

一种保护Web应用安全的url拟态方法 Download PDF

Info

Publication number
CN104954384A
CN104954384A CN201510357159.3A CN201510357159A CN104954384A CN 104954384 A CN104954384 A CN 104954384A CN 201510357159 A CN201510357159 A CN 201510357159A CN 104954384 A CN104954384 A CN 104954384A
Authority
CN
China
Prior art keywords
url
web server
web
backstage
replacement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510357159.3A
Other languages
English (en)
Other versions
CN104954384B (zh
Inventor
吴春明
申旺强
高文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201510357159.3A priority Critical patent/CN104954384B/zh
Publication of CN104954384A publication Critical patent/CN104954384A/zh
Application granted granted Critical
Publication of CN104954384B publication Critical patent/CN104954384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

本发明公开了一种保护Web应用安全的url拟态方法,该方法对标识后台Web服务器资源的url进行动态变化,使之对外表现变化后的url,隐藏真实的url,并且可以配置每一个变化后的url的有效访问次数。应用该方法可以使攻击者无法掌握Web服务器上的资源的真正入口,从而不能随意进行攻击尝试,从而保护Web应用的安全。

Description

一种保护Web应用安全的url拟态方法
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及web应用安全领域。
背景技术
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。而目前常见的保护web应用安全的手段有防火墙、IDS、模式识别、URL过滤等技术,但这些技术都很被动,只有当发生某种入侵事件后再针对这种入侵采取相应的保护措施,如果出现新的攻击手段往往就很难防住。
发明内容
本发明的目的在于针对现有网络安全技术的不足,提出了一种保护Web应用安全的url拟态方法。
本发明的目的是通过以下技术法案来实现的:一种保护Web应用安全的url拟态方法,包括以下步骤:
(1)当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的Web页面中所有的链接,找出具有向后台服务器传递参数的url链接;
(1.2)将步骤1.1找出的url链接做动态替换,保存当前所做的替换映射;
(1.3)对返回的Web页面中的所有form表单中的action字段做与步骤1.2中同样的替换;
(2)配置步骤1.2和步骤1.3中替换后的url允许访问后台Web服务器的次数;
(3)当客户端再次向后台Web服务器发送Web请求时,网关对传入的web请求进行处理,替换为后台Web服务器真实的地址,具体包括以下子步骤:
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤3.2;
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
本发明的有益效果是:由于本法明提出了一种url拟态防御思想,对URL进行实时动态变换,导致攻击者无法对固定的url进行攻击探测,极大了保护了后台web应用的安全,化被动为主动,并且能够防御住新类型攻击。
附图说明
图1是网络架构的示意图。
图2是url拟态防御方法的流程图,(a)为服务器向客户端返回时url拟态处理过程,(b)为客户端向服务器发起请求时url拟态处理过程。
具体实施方案
下面结合附图详细描述本发明,本发明的目的和效果将变得更加明显。
本发明是一种保护Web应用安全的url拟态方法,如图1所示,该方法在网关中实现,其中具有URL拟态功能的网关是用nginx做一个反向代理。而URL拟态功能可以用nginx的http模块来实现。具体包括以下步骤:
步骤1:如图2(a)所示,当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的web页面中所有的链接,找出具有向后台服务器传递参数的url链接。
(1.2)找出该类型链接后,比如存在如下链接:
<a href=”/web/test/page.php?id=1”>page</a>,把.php?替换成一串6位数的数字,该串数字是系统取得当前时间的秒数(格林威治时间到现在的时间所过的秒数)的后六位。并且保存当前所做的替换映射。
(1.3)把返回的web页面中的所有form表单中的aciton字段做与步骤(1.2)中一样的替换。
步骤2:配置步骤(1.2)和步骤(1.3)中替换后的url允许访问后台Web服务器的次数,比如三次或者五次等。
步骤3:如图2(b)所示,当客户端再次向后台Web服务器发送Web请求时,网关对传入的Web请求进行处理,替换为后台Web服务器真实的地址。
在图1中,客户端传来的请求首先要通过具有url拟态功能的网关,在网关中分析客户端传来的请求,进行下面的处理过程。
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤(3.2);
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台Web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
本发明将标识着后台web服务器上的资源入口URL做了一个动态变化的过程,因为入口不断的在变化,所以黑客想用工具针对某个资源入口做攻击测试的时候就会被阻断。这样,即使后台web应用存在漏洞,但黑客也不能发现,极大的保护了后台web应用的安全。

Claims (1)

1.一种保护Web应用安全的url拟态方法,其特征在于,包括以下步骤:
(1)当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的Web页面中所有的链接,找出具有向后台服务器传递参数的url链接;
(1.2)将步骤1.1找出的url链接做动态替换,保存当前所做的替换映射;
(1.3)对返回的Web页面中的所有form表单中的action字段做与步骤1.2中同样的替换;
(2)配置步骤1.2和步骤1.3中替换后的url允许访问后台Web服务器的次数;
(3)当客户端再次向后台Web服务器发送Web请求时,网关对传入的web请求进行处理,替换为后台Web服务器真实的地址,具体包括以下子步骤:
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤3.2;
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
CN201510357159.3A 2015-06-24 2015-06-24 一种保护Web应用安全的url拟态方法 Active CN104954384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510357159.3A CN104954384B (zh) 2015-06-24 2015-06-24 一种保护Web应用安全的url拟态方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510357159.3A CN104954384B (zh) 2015-06-24 2015-06-24 一种保护Web应用安全的url拟态方法

Publications (2)

Publication Number Publication Date
CN104954384A true CN104954384A (zh) 2015-09-30
CN104954384B CN104954384B (zh) 2018-04-27

Family

ID=54168736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510357159.3A Active CN104954384B (zh) 2015-06-24 2015-06-24 一种保护Web应用安全的url拟态方法

Country Status (1)

Country Link
CN (1) CN104954384B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN107332924A (zh) * 2017-07-27 2017-11-07 北京奇安信科技有限公司 基于动态url替换的反向代理方法及装置
CN107508839A (zh) * 2017-09-28 2017-12-22 中国银联股份有限公司 一种控制web系统越权访问的方法和装置
CN108400968A (zh) * 2018-01-16 2018-08-14 杭州电子科技大学 一种高效的实现拟态防御模型分发器的方法
CN109561102A (zh) * 2018-12-26 2019-04-02 国网思极网安科技(北京)有限公司 针对自动化攻击的url虚拟化动态防御方法
CN109977330A (zh) * 2019-03-12 2019-07-05 平安科技(深圳)有限公司 基于动态访问路径的网页访问方法及相关设备
CN110177103A (zh) * 2019-05-28 2019-08-27 江苏快页信息技术有限公司 一种基于网页地址转换的动态web安全防护方法与系统
CN112187806A (zh) * 2020-09-29 2021-01-05 国网福建省电力有限公司 一种基于网页资源地址动态跳变的防御方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101437030A (zh) * 2008-11-29 2009-05-20 成都市华为赛门铁克科技有限公司 一种防止服务器被攻击的方法、检测装置及监控设备
CN101478387A (zh) * 2008-12-31 2009-07-08 成都市华为赛门铁克科技有限公司 超文本传输协议攻击防御方法、装置和系统
US20120047577A1 (en) * 2010-08-23 2012-02-23 Microsoft Corporation Safe url shortening
CN104079583A (zh) * 2014-07-17 2014-10-01 南京铱迅信息技术有限公司 一种基于从服务器端到客户端字符转换的网站防护方法
CN104158799A (zh) * 2014-07-17 2014-11-19 天津大学 一种基于url动态映射的http ddos防御方法
CN104378363A (zh) * 2014-10-30 2015-02-25 中国科学院信息工程研究所 一种动态应用地址转换方法及其网关系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101437030A (zh) * 2008-11-29 2009-05-20 成都市华为赛门铁克科技有限公司 一种防止服务器被攻击的方法、检测装置及监控设备
CN101478387A (zh) * 2008-12-31 2009-07-08 成都市华为赛门铁克科技有限公司 超文本传输协议攻击防御方法、装置和系统
US20120047577A1 (en) * 2010-08-23 2012-02-23 Microsoft Corporation Safe url shortening
CN104079583A (zh) * 2014-07-17 2014-10-01 南京铱迅信息技术有限公司 一种基于从服务器端到客户端字符转换的网站防护方法
CN104158799A (zh) * 2014-07-17 2014-11-19 天津大学 一种基于url动态映射的http ddos防御方法
CN104378363A (zh) * 2014-10-30 2015-02-25 中国科学院信息工程研究所 一种动态应用地址转换方法及其网关系统

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN106657044B (zh) * 2016-12-12 2019-09-06 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN107332924A (zh) * 2017-07-27 2017-11-07 北京奇安信科技有限公司 基于动态url替换的反向代理方法及装置
CN107332924B (zh) * 2017-07-27 2020-06-23 奇安信科技集团股份有限公司 基于动态url替换的反向代理方法及装置
CN107508839A (zh) * 2017-09-28 2017-12-22 中国银联股份有限公司 一种控制web系统越权访问的方法和装置
CN108400968A (zh) * 2018-01-16 2018-08-14 杭州电子科技大学 一种高效的实现拟态防御模型分发器的方法
CN109561102A (zh) * 2018-12-26 2019-04-02 国网思极网安科技(北京)有限公司 针对自动化攻击的url虚拟化动态防御方法
CN109977330A (zh) * 2019-03-12 2019-07-05 平安科技(深圳)有限公司 基于动态访问路径的网页访问方法及相关设备
CN110177103A (zh) * 2019-05-28 2019-08-27 江苏快页信息技术有限公司 一种基于网页地址转换的动态web安全防护方法与系统
CN110177103B (zh) * 2019-05-28 2022-04-12 江苏快页信息技术有限公司 一种基于网页地址转换的动态web安全防护方法与系统
CN112187806A (zh) * 2020-09-29 2021-01-05 国网福建省电力有限公司 一种基于网页资源地址动态跳变的防御方法

Also Published As

Publication number Publication date
CN104954384B (zh) 2018-04-27

Similar Documents

Publication Publication Date Title
CN104954384A (zh) 一种保护Web应用安全的url拟态方法
US10826872B2 (en) Security policy for browser extensions
Karim et al. Botnet detection techniques: review, future trends, and issues
US9215242B2 (en) Methods and systems for preventing unauthorized acquisition of user information
KR101388090B1 (ko) 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법
US9258289B2 (en) Authentication of IP source addresses
US20160065600A1 (en) Apparatus and method for automatically detecting malicious link
Wainwright et al. An analysis of botnet models
Singh et al. Detecting bot-infected machines using DNS fingerprinting
CN104967628B (zh) 一种保护web应用安全的诱骗方法
CN108353083B (zh) 用于检测域产生算法(dga)恶意软件的系统及方法
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
CN107276986B (zh) 一种通过机器学习保护网站的方法、装置和系统
GB2545480A (en) Detection of coordinated cyber-attacks
CN105141573A (zh) 一种基于web访问合规性审计的安全防护方法和系统
Gupta et al. Prevention of cross-site scripting vulnerabilities using dynamic hash generation technique on the server side
Mahjabin Implementation of DoS and DDoS attacks on cloud servers
Mityukov et al. Phishing detection model using the hybrid approach to data protection in industrial control system
Hyun et al. Security operation implementation through big data analysis by using open source ELK stack
CN106411951B (zh) 网络攻击行为检测方法及装置
Priyan et al. Desktop phishing attack detection and elimination using TSO program
Du et al. Security assessment via attack tree model
Athavale et al. Framework for threat analysis and attack modelling of network security protocols
Fernandes et al. It's only the beginning: Metadata retention laws and the Internet of things
CN104951711A (zh) 一种保护web应用安全的网站结构拟态方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant