CN104954384A - 一种保护Web应用安全的url拟态方法 - Google Patents
一种保护Web应用安全的url拟态方法 Download PDFInfo
- Publication number
- CN104954384A CN104954384A CN201510357159.3A CN201510357159A CN104954384A CN 104954384 A CN104954384 A CN 104954384A CN 201510357159 A CN201510357159 A CN 201510357159A CN 104954384 A CN104954384 A CN 104954384A
- Authority
- CN
- China
- Prior art keywords
- url
- web server
- web
- backstage
- replacement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种保护Web应用安全的url拟态方法,该方法对标识后台Web服务器资源的url进行动态变化,使之对外表现变化后的url,隐藏真实的url,并且可以配置每一个变化后的url的有效访问次数。应用该方法可以使攻击者无法掌握Web服务器上的资源的真正入口,从而不能随意进行攻击尝试,从而保护Web应用的安全。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及web应用安全领域。
背景技术
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。而目前常见的保护web应用安全的手段有防火墙、IDS、模式识别、URL过滤等技术,但这些技术都很被动,只有当发生某种入侵事件后再针对这种入侵采取相应的保护措施,如果出现新的攻击手段往往就很难防住。
发明内容
本发明的目的在于针对现有网络安全技术的不足,提出了一种保护Web应用安全的url拟态方法。
本发明的目的是通过以下技术法案来实现的:一种保护Web应用安全的url拟态方法,包括以下步骤:
(1)当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的Web页面中所有的链接,找出具有向后台服务器传递参数的url链接;
(1.2)将步骤1.1找出的url链接做动态替换,保存当前所做的替换映射;
(1.3)对返回的Web页面中的所有form表单中的action字段做与步骤1.2中同样的替换;
(2)配置步骤1.2和步骤1.3中替换后的url允许访问后台Web服务器的次数;
(3)当客户端再次向后台Web服务器发送Web请求时,网关对传入的web请求进行处理,替换为后台Web服务器真实的地址,具体包括以下子步骤:
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤3.2;
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
本发明的有益效果是:由于本法明提出了一种url拟态防御思想,对URL进行实时动态变换,导致攻击者无法对固定的url进行攻击探测,极大了保护了后台web应用的安全,化被动为主动,并且能够防御住新类型攻击。
附图说明
图1是网络架构的示意图。
图2是url拟态防御方法的流程图,(a)为服务器向客户端返回时url拟态处理过程,(b)为客户端向服务器发起请求时url拟态处理过程。
具体实施方案
下面结合附图详细描述本发明,本发明的目的和效果将变得更加明显。
本发明是一种保护Web应用安全的url拟态方法,如图1所示,该方法在网关中实现,其中具有URL拟态功能的网关是用nginx做一个反向代理。而URL拟态功能可以用nginx的http模块来实现。具体包括以下步骤:
步骤1:如图2(a)所示,当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的web页面中所有的链接,找出具有向后台服务器传递参数的url链接。
(1.2)找出该类型链接后,比如存在如下链接:
<a href=”/web/test/page.php?id=1”>page</a>,把.php?替换成一串6位数的数字,该串数字是系统取得当前时间的秒数(格林威治时间到现在的时间所过的秒数)的后六位。并且保存当前所做的替换映射。
(1.3)把返回的web页面中的所有form表单中的aciton字段做与步骤(1.2)中一样的替换。
步骤2:配置步骤(1.2)和步骤(1.3)中替换后的url允许访问后台Web服务器的次数,比如三次或者五次等。
步骤3:如图2(b)所示,当客户端再次向后台Web服务器发送Web请求时,网关对传入的Web请求进行处理,替换为后台Web服务器真实的地址。
在图1中,客户端传来的请求首先要通过具有url拟态功能的网关,在网关中分析客户端传来的请求,进行下面的处理过程。
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤(3.2);
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台Web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
本发明将标识着后台web服务器上的资源入口URL做了一个动态变化的过程,因为入口不断的在变化,所以黑客想用工具针对某个资源入口做攻击测试的时候就会被阻断。这样,即使后台web应用存在漏洞,但黑客也不能发现,极大的保护了后台web应用的安全。
Claims (1)
1.一种保护Web应用安全的url拟态方法,其特征在于,包括以下步骤:
(1)当客户端向后台Web服务器发送Web请求时,网关对后台Web服务器向客户端返回的Web页面中的url进行动态变换,具体包括以下子步骤:
(1.1)查找返回的Web页面中所有的链接,找出具有向后台服务器传递参数的url链接;
(1.2)将步骤1.1找出的url链接做动态替换,保存当前所做的替换映射;
(1.3)对返回的Web页面中的所有form表单中的action字段做与步骤1.2中同样的替换;
(2)配置步骤1.2和步骤1.3中替换后的url允许访问后台Web服务器的次数;
(3)当客户端再次向后台Web服务器发送Web请求时,网关对传入的web请求进行处理,替换为后台Web服务器真实的地址,具体包括以下子步骤:
(3.1)查找传入的url请求有没有做过步骤1所述的替换;如果没有,那么直接放行,不对该url做任何处理;如果有,则执行步骤3.2;
(3.2)分析替换后的url已经访问过后台Web服务器的次数;如果没有超过步骤2配置的每个url允许访问后台Web服务器的次数,那么将该url替换为后台web服务器真实的地址,通过该真实地址访问后台Web服务器;如果超过了步骤2配置的每个url允许访问后台Web服务器的次数,那么就拒绝该url请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510357159.3A CN104954384B (zh) | 2015-06-24 | 2015-06-24 | 一种保护Web应用安全的url拟态方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510357159.3A CN104954384B (zh) | 2015-06-24 | 2015-06-24 | 一种保护Web应用安全的url拟态方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104954384A true CN104954384A (zh) | 2015-09-30 |
CN104954384B CN104954384B (zh) | 2018-04-27 |
Family
ID=54168736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510357159.3A Active CN104954384B (zh) | 2015-06-24 | 2015-06-24 | 一种保护Web应用安全的url拟态方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104954384B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
CN107332924A (zh) * | 2017-07-27 | 2017-11-07 | 北京奇安信科技有限公司 | 基于动态url替换的反向代理方法及装置 |
CN107508839A (zh) * | 2017-09-28 | 2017-12-22 | 中国银联股份有限公司 | 一种控制web系统越权访问的方法和装置 |
CN108400968A (zh) * | 2018-01-16 | 2018-08-14 | 杭州电子科技大学 | 一种高效的实现拟态防御模型分发器的方法 |
CN109561102A (zh) * | 2018-12-26 | 2019-04-02 | 国网思极网安科技(北京)有限公司 | 针对自动化攻击的url虚拟化动态防御方法 |
CN109977330A (zh) * | 2019-03-12 | 2019-07-05 | 平安科技(深圳)有限公司 | 基于动态访问路径的网页访问方法及相关设备 |
CN110177103A (zh) * | 2019-05-28 | 2019-08-27 | 江苏快页信息技术有限公司 | 一种基于网页地址转换的动态web安全防护方法与系统 |
CN112187806A (zh) * | 2020-09-29 | 2021-01-05 | 国网福建省电力有限公司 | 一种基于网页资源地址动态跳变的防御方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
CN101478387A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 超文本传输协议攻击防御方法、装置和系统 |
US20120047577A1 (en) * | 2010-08-23 | 2012-02-23 | Microsoft Corporation | Safe url shortening |
CN104079583A (zh) * | 2014-07-17 | 2014-10-01 | 南京铱迅信息技术有限公司 | 一种基于从服务器端到客户端字符转换的网站防护方法 |
CN104158799A (zh) * | 2014-07-17 | 2014-11-19 | 天津大学 | 一种基于url动态映射的http ddos防御方法 |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
-
2015
- 2015-06-24 CN CN201510357159.3A patent/CN104954384B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
CN101478387A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 超文本传输协议攻击防御方法、装置和系统 |
US20120047577A1 (en) * | 2010-08-23 | 2012-02-23 | Microsoft Corporation | Safe url shortening |
CN104079583A (zh) * | 2014-07-17 | 2014-10-01 | 南京铱迅信息技术有限公司 | 一种基于从服务器端到客户端字符转换的网站防护方法 |
CN104158799A (zh) * | 2014-07-17 | 2014-11-19 | 天津大学 | 一种基于url动态映射的http ddos防御方法 |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
CN106657044B (zh) * | 2016-12-12 | 2019-09-06 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
CN107332924A (zh) * | 2017-07-27 | 2017-11-07 | 北京奇安信科技有限公司 | 基于动态url替换的反向代理方法及装置 |
CN107332924B (zh) * | 2017-07-27 | 2020-06-23 | 奇安信科技集团股份有限公司 | 基于动态url替换的反向代理方法及装置 |
CN107508839A (zh) * | 2017-09-28 | 2017-12-22 | 中国银联股份有限公司 | 一种控制web系统越权访问的方法和装置 |
CN108400968A (zh) * | 2018-01-16 | 2018-08-14 | 杭州电子科技大学 | 一种高效的实现拟态防御模型分发器的方法 |
CN109561102A (zh) * | 2018-12-26 | 2019-04-02 | 国网思极网安科技(北京)有限公司 | 针对自动化攻击的url虚拟化动态防御方法 |
CN109977330A (zh) * | 2019-03-12 | 2019-07-05 | 平安科技(深圳)有限公司 | 基于动态访问路径的网页访问方法及相关设备 |
CN110177103A (zh) * | 2019-05-28 | 2019-08-27 | 江苏快页信息技术有限公司 | 一种基于网页地址转换的动态web安全防护方法与系统 |
CN110177103B (zh) * | 2019-05-28 | 2022-04-12 | 江苏快页信息技术有限公司 | 一种基于网页地址转换的动态web安全防护方法与系统 |
CN112187806A (zh) * | 2020-09-29 | 2021-01-05 | 国网福建省电力有限公司 | 一种基于网页资源地址动态跳变的防御方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104954384B (zh) | 2018-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104954384A (zh) | 一种保护Web应用安全的url拟态方法 | |
US10826872B2 (en) | Security policy for browser extensions | |
Karim et al. | Botnet detection techniques: review, future trends, and issues | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
US9258289B2 (en) | Authentication of IP source addresses | |
US20160065600A1 (en) | Apparatus and method for automatically detecting malicious link | |
Wainwright et al. | An analysis of botnet models | |
Singh et al. | Detecting bot-infected machines using DNS fingerprinting | |
CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
CN108353083B (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
CN107276986B (zh) | 一种通过机器学习保护网站的方法、装置和系统 | |
GB2545480A (en) | Detection of coordinated cyber-attacks | |
CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
Gupta et al. | Prevention of cross-site scripting vulnerabilities using dynamic hash generation technique on the server side | |
Mahjabin | Implementation of DoS and DDoS attacks on cloud servers | |
Mityukov et al. | Phishing detection model using the hybrid approach to data protection in industrial control system | |
Hyun et al. | Security operation implementation through big data analysis by using open source ELK stack | |
CN106411951B (zh) | 网络攻击行为检测方法及装置 | |
Priyan et al. | Desktop phishing attack detection and elimination using TSO program | |
Du et al. | Security assessment via attack tree model | |
Athavale et al. | Framework for threat analysis and attack modelling of network security protocols | |
Fernandes et al. | It's only the beginning: Metadata retention laws and the Internet of things | |
CN104951711A (zh) | 一种保护web应用安全的网站结构拟态方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |