CN105306473A - 一种防止注入攻击的方法、客户端、服务器和系统 - Google Patents
一种防止注入攻击的方法、客户端、服务器和系统 Download PDFInfo
- Publication number
- CN105306473A CN105306473A CN201510745576.5A CN201510745576A CN105306473A CN 105306473 A CN105306473 A CN 105306473A CN 201510745576 A CN201510745576 A CN 201510745576A CN 105306473 A CN105306473 A CN 105306473A
- Authority
- CN
- China
- Prior art keywords
- http request
- information
- injection information
- injection
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防止注入攻击的方法、客户端、服务器和系统。其中应用于客户端的方法包括:从待发送给服务器的原始HTTP请求中截取URL参数;将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;将所述最终的HTTP请求发给服务器。依据上述方案,若HTTP请求被劫持时,攻击方向劫持到的HTTP请求中注入信息得到的伪装请求无法得到服务器的响应,避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种防止注入攻击的方法、客户端、服务器和系统。
背景技术
随着网络技术的发展和人们需求的不断变化,在本地安装的独立的客户端往往不能满足人们的全部需求,部分需求而需要利用客户端与服务器的交互来实现,而这就需要服务器接收客户端发送的请求,并对该请求进行响应。因此,也就产生了对客户端发送的请求的劫持技术,攻击方通过获取到客户端向服务器发送的请求,如HTTP请求,在该请求中注入非法信息形成新的请求,便可以欺骗服务器以完成某些不正当的目的,如伪装发送已付款信息、已完成任务信息等,这些请求并不是在客户端进行正当操作发送的请求,但是会欺骗服务器进行响应,达到刷分、骗单等非法目的。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的防止注入攻击的方法、客户端、服务器和系统。
依据本发明的一个方面,提供了一种防止注入攻击的方法,应用于客户端,包括:从待发送给服务器的原始HTTP请求中截取URL参数;将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;将所述最终的HTTP请求发给服务器。
可选地,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对所述字符串进行加密处理,得到防注入信息。
可选地,所述指定信息进一步包括:随机数和/或时间戳;所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;所述得到最终的HTTP请求进一步包括:将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
可选地,该方法进一步包括:保存添加到所述最终的HTTP请求中的防注入信息;接收服务器返回的HTTP响应;从所述HTTP响应中提取防注入信息;并将所提取的防注入信息与保存的所述防注入信息进行比较;如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
依据本发明的另一方面,提供了一种防止注入攻击的方法,应用于服务器,包括:接收客户端发送的HTTP请求;从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;从删除防注入信息的HTTP请求中截取URL参数;将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
可选地,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对所述字符串进行加密处理,得到防注入信息。
可选地,该方法进一步包括:保存从所接收到的HTTP请求中提取的防注入信息;当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
可选地,该方法进一步包括:提取所述HTTP请求中包含的一个随机数和/或时间戳;所述得到防注入信息进一步包括:将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
可选地,该方法进一步包括:将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中;将所述HTTP响应返回给客户端。
可选地,在从所述HTTP请求中提取防注入信息的步骤之前,该方法进一步包括:根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则执行从所述HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不再执行从所述HTTP请求中提取防注入信息的步骤。
依据本发明的又一方面,提供了一种防止注入攻击的客户端装置,包括:参数截取单元,适于从待发送给服务器的原始HTTP请求中截取URL参数;防注入信息生成单元,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;添加单元,适于将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;发送单元,适于将所述最终的HTTP请求发给服务器。
可选地,所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
可选地,所述指定信息进一步包括:随机数和/或时间戳;所述防注入信息生成单元,适于将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;所述添加单元,适于将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
可选地,该装置进一步包括:存储单元和接收处理单元;所述添加单元,进一步适于将添加到所述最终的HTTP请求中的防注入信息保存到存储单元中;所述接收处理单元,适于接收服务器返回的HTTP响应,从所述HTTP响应中提取防注入信息,并将所提取的防注入信息与存储单元中保存的所述防注入信息进行比较;如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
依据本发明的再一方面,提供了一种防止注入攻击的服务器,包括:接收单元,适于接收客户端发送的HTTP请求;防注入信息提取单元,适于从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;参数截取单元,适于从删除防注入信息的HTTP请求中截取URL参数;防注入信息生成单元,适于将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;比较处理单元,适于将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
可选地,所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
可选地,该服务器进一步包括:存储单元和恶意重发处理单元;所述防注入信息提取单元,适于将从所接收到的HTTP请求中提取的防注入信息保存到所述存储单元中;所述恶意重发处理单元,适于当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所述存储单元中保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
可选地,所述防注入信息生成单元,适于提取所述HTTP请求中包含的一个随机/时间戳,将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
可选地,该服务器进一步包括:响应单元,适于将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中,将所述HTTP响应返回给客户端。
可选地,该服务器进一步包括:鉴权单元,适于根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则通知所述防注入信息提取单元执行从所述HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不通知所述防注入信息提取单元。
依据本发明的再一方面,提供了一种防止注入攻击的系统,包括:至少一如上述任一项所述的服务器和至少一如上述任一项所述的客户端装置。
本发明实施例的有益效果是:本发明的技术方案,通过在客户端侧对待发送给服务器的原始HTTP请求进行截取URL参数的操作,将截取的URL参数和预先指定的信息通过预设的加密算法进行处理,得到包括预先约定的密钥的防注入信息,再将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求后发给服务器,经过上述处理得到的最终HTTP请求当被劫持获取到时,攻击方如果向劫持到的HTTP请求中注入信息得到伪装请求,那么伪装请求不能正确地被服务器响应,因此避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种防止注入攻击的方法的流程图;
图2示出了根据本发明的又一个实施例的一种防止注入攻击的方法的流程图;
图3示出了根据本发明一个实施例的一种防止注入攻击的客户端装置的机构示意图;
图4示出了根据本发明一个实施例的一种防止注入攻击的服务器的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种防止注入攻击的方法的流程图,如图1所示,应用于客户端的该方法包括:
步骤S110,从待发送给服务器的原始HTTP请求中截取URL参数。
现有技术中,采用HTTP(HyperTextTransferProtocol,超文本传输协议)请求方式进行客户端与服务器的交互是一种常用方式,针对该种方式的攻击也较多。HTTP请求中通常包含URL(UniformResourceLocator,统一资源定位符)参数,例如,下面给出了一条示例性的HTTP请求:
http://safe.task360.cn/?method=123&qid=456&taskid=789
其中,URL可以包含目标地址和变量,均可根据用户需求进行定义,如上例中的HTTP请求用于提交已完成任务的信息,因此URL参数包括了任务名taskid。
步骤S120,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,指定信息包括:预先约定的密钥。
在该步骤中,预先约定的密钥是客户端与服务器之间进行约定的。由于客户端需要与服务器端进行通信,最终需要服务器验证客户端发送的HTTP请求,因此,即使该HTTP请求被攻击方劫持获取到,由于攻击方并不知道预设的加密算法和预先设定的密钥,因此,在其中注入非法信息得到的伪装请求不能在服务端得到响应,从而有效地防止了注入攻击。
步骤S130,将防注入信息添加到原始HTTP请求中得到最终的HTTP请求。
步骤S140,将最终的HTTP请求发给服务器。
可见,图1所示的方法,通过在客户端侧对待发送给服务器的原始HTTP请求进行截取URL参数的操作,将截取的URL参数和预先指定的信息通过预设的加密算法进行处理,得到包括预先约定的密钥的防注入信息,再将防注入信息添加到原始HTTP请求中得到最终的HTTP请求后发给服务器,经过上述处理得到的最终HTTP请求当被劫持获取到时,攻击方如果向劫持到的HTTP请求中注入信息得到伪装请求,那么伪装请求不能正确地被服务器响应,因此避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
在本发明的一个实施例中,图1的方法中,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对字符串进行加密处理,得到防注入信息。
以前述HTTP请求
http://safe.task360.cn/?method=123&qid=456&taskid=789
为例,从中可以截取到多个URL参数,包括method=123,qid=456,taskid=789,其中,可以按一定次序,如字母升序将上述参数进行排列,即method=123qid=456taskid=789,得到一个字符串,但这样得到的字符串的安全性较差,因此可以在字符串后拼接指定信息如预先约定的密钥token,则得到的字符串为method=123qid=456taskid=789token,再将其通过MD5(MessageDigestAlgorithmMD5,消息摘要算法第五版)算法进行加密处理,得到防注入信息74807dba8f669f962e40ea417b9edd04。之后就可以将上述防注入信息添加到原始HTTP请求中得到最终的HTTP请求,再将最终的HTTP请求发给服务器。
在某些情况下,攻击方还可能在劫持获取到客户端发送的HTTP请求后,不向其中注入信息,而是将该请求多次发送给服务器端,形成“刷分”等现象,这也是服务提供方所不希望见到的。此时,服务器可以在接收到HTTP请求后,记录该HTTP请求中包含的防注入信息,当防注入信息出现第二次时则说明用户试图完成已完成的任务,或有刷分现象出现,此时可以进行进一步的提示和处理。
但是,对于可以完成多次的任务等情况,客户端向服务器发送的HTTP请求中各URL的参数是相同的,此时得到的防注入信息也相同,依据上述策略,这种用户的正常操作会被认为是在刷分,违背了设计意图。因此,进一步地,指定信息还可以包括:随机数和/或时间戳;此时,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的URL参数、预先约定的密钥以及随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;得到最终的HTTP请求进一步包括:将防注入信息和随机数和/或时间戳添加到原始HTTP请求中得到最终的HTTP请求。
这样,对于可以多次完成的任务的情况,客户端可以在得到防注入信息的过程中添加随机数和/或时间戳,这样就有效地保证了每次HTTP请求的防注入信息的唯一性,避免了上述问题的发生。
上面示出了客户端向服务器发送HTTP请求时的若干个实施例。在具体实施过程中,客户端不仅要向服务器发送HTTP请求,还会需要接收服务器返回的HTTP响应。为了防止HTTP响应也遭到前述的攻击,因此,在本发明的一个实施例中,图1所述的方法进一步包括:保存添加到最终的HTTP请求中的防注入信息;接收服务器返回的HTTP响应;从HTTP响应中提取防注入信息;并将所提取的防注入信息与保存的防注入信息进行比较;如果一致则确认HTTP响应合法,如果不一致则确认HTTP响应不合法。
这样,在客户端每发送一条最终的HTTP请求时,对应保存添加到该最终的HTTP请求中的防注入信息,这样,在接收服务器返回的HTTP响应时,可以从HTTP响应中提取防注入信息并与保存的防注入信息进行比较。在实际中可能存在下述情景:攻击方在客户端所处的本地设置了恶意程序,获取到了客户端发送的一条最终HTTP请求,同时也获取到了服务器对应返回的HTTP响应。在获取到上述数据之后,恶意程序更改了本地的hosts文件,将客户端发送的最终的HTTP请求中的目标地址改为了本地,此时客户端发送的最终的HTTP请求就不再会到达服务器。此时,恶意程序还可以伪装成服务器向客户端发送伪装的HTTP响应,在不进行防注入信息比较的情况下,伪装HTTP响应会欺骗客户端,对其进行数据的更改。例如,恶意程序向游戏客户端发送账户充值成功的响应,客户端根据该响应更改账户角色的体力、金币等数据,这是服务提供方所不想见到的。由于服务器端返回的HTTP响应通常为JSON格式,这种攻击方式可以称为JSON劫持。因此,采取本实施例提供的方法,从HTTP响应中提取防注入信息并与保存的防注入信息进行比较,如果一致则确认HTTP响应合法,如果不一致则确认HTTP响应不合法,可以有效识别伪装HTTP响应。
图2示出了根据本发明的又一个实施例的一种防止注入攻击的方法的流程图,如图2所示,应用于服务器的该方法包括:
步骤S210,接收客户端发送的HTTP请求。
步骤S220,从HTTP请求中提取防注入信息,并从HTTP请求中删除防注入信息。因为防注入信息对于业务流程并没有帮助,仅用于验证HTTP请求是否合法。
步骤S230,从删除防注入信息的HTTP请求中截取URL参数。
步骤S240,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,指定信息包括:预先约定的密钥。
步骤S250,将通过预设的加密算法处理得到的防注入信息与从HTTP请求中提取的防注入信息进行比较。
步骤S230-S250进行的防注入信息的生成方式应当是与客户端侧一致的,因此,如果接收到的HTTP请求合法,服务器通过上述步骤得到的防注入信息应当与从HTTP请求中提取的防注入信息一致。因此,执行步骤S260,如果一致则确定HTTP请求合法,如果不一致则确定HTTP请求为被注入攻击信息的HTTP请求。
可见,图2所示的方法,在服务器侧对接收到的HTTP请求进行验证,其中对接收到的HTTP请求进行防注入信息的提取,对删除了防注入信息后的HTTP请求截取URL并进行与客户端侧一致的生成防注入信息的方式,对新生成的防注入信息与提取到的防注入信息进行比较可以准确判断HTTP请求是否合法。
在本发明的一个实施例中,与客户端侧类似地,图2所示的方法中,在服务器侧,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对字符串进行加密处理,得到防注入信息。
同样地,在本发明的一个实施例中,在客户端发送的HTTP请求包含随机数和/或时间戳时,图2所示的方法进一步包括:提取HTTP请求中包含的一个随机数和/或时间戳;得到防注入信息进一步包括:将截取的URL参数、预先约定的密钥和随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
为了预防刷分等行为,在本发明的一个实施例中,图2所示的方法还包括:保存从所接收到的HTTP请求中提取的防注入信息;当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。其中,提取的防注入信息可以存储到分布式高速缓存MEM-CACHE中。
在本发明的一个实施例中,为防止恶意攻击方向客户端伪装发送HTTP响应,图2所示的方法进一步包括:将从HTTP请求中提取的防注入信息添加到对应的HTTP响应中;将HTTP响应返回给客户端。
上述实施例的具体实施方式以及希望防范的恶意行为已在前述客户端侧的方法实施例中进行了详细说明,在此不再赘述。
在本发明的一个实施例中,图2所示的方法中,在从HTTP请求中提取防注入信息的步骤之前进一步包括:根据HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则执行从HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不再执行从HTTP请求中提取防注入信息的步骤。
本实施例针对的是另一种恶意攻击的方式,即恶意攻击方对获取到的HTTP请求注入攻击信息形成的伪装请求,可能并不再是针对原HTTP请求对应的应用进行发送,而是向其他应用进行发送。例如,恶意攻击方获取到的HTTP请求包含了参数app=123,而恶意攻击方将该参数值更改为app=456,形成新的HTTP请求,此时虽然也可以通过上述实施例中提供的方法验证该HTTP请求是否合法,但在此之前,可以先:根据HTTP请求的中的应用标识,判断相应的应用是否具有操作权限,一般而言,本实施例中所涉及的这种恶意攻击方式不会通过此验证,因此可以免去后续步骤的繁琐。
图3示出了根据本发明一个实施例的一种防止注入攻击的客户端装置的机构示意图,如图3所示,防止注入攻击的客户端装置300包括:
参数截取单元310,适于从待发送给服务器的原始HTTP请求中截取URL参数.
现有技术中,采用HTTP(HyperTextTransferProtocol,超文本传输协议)请求方式进行客户端与服务器的交互是一种常用方式,针对该种方式的攻击也较多。HTTP请求中通常包含URL(UniformResourceLocator,统一资源定位符)参数,例如,下面给出了一条示例性的HTTP请求:
http://safe.task360.cn/?method=123&qid=456&taskid=789
其中,URL可以包含目标地址和变量,均可根据用户需求进行定义,如上例中的HTTP请求用于提交已完成任务的信息,因此URL参数包括了任务名taskid。
防注入信息生成单元320,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,指定信息包括:预先约定的密钥。预先约定的密钥是客户端装置与服务器之间进行约定的。由于客户端装置需要与服务器端进行通信,最终需要服务器验证客户端发送的HTTP请求,因此,即使该HTTP请求被攻击方劫持获取到,由于攻击方并不知道预设的加密算法和预先设定的密钥,因此,在其中注入非法信息得到的伪装请求不能在服务端得到响应,从而有效地防止了注入攻击。
添加单元330,适于将防注入信息添加到原始HTTP请求中得到最终的HTTP请求;
发送单元340,适于将最终的HTTP请求发给服务器。
可见,图3所示的装置,通过在客户端装置对待发送给服务器的原始HTTP请求进行截取URL参数的操作,将截取的URL参数和预先指定的信息通过预设的加密算法进行处理,得到包括预先约定的密钥的防注入信息,再将防注入信息添加到原始HTTP请求中得到最终的HTTP请求后发给服务器,经过上述处理得到的最终HTTP请求当被劫持获取到时,攻击方如果向劫持到的HTTP请求中注入信息得到伪装请求,那么伪装请求不能正确地被服务器响应,因此避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
在本发明的一个实施例中,图3所示的装置中,防注入信息生成单元320,适于将截取的各URL参数和预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对字符串进行加密处理,得到防注入信息。
在本发明的一个实施例中,图3所示的装置中,指定信息进一步包括:随机数和/或时间戳;防注入信息生成单元320,适于将截取的URL参数、预先约定的密钥以及随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;添加单元340,适于将防注入信息和随机数和/或时间戳添加到原始HTTP请求中得到最终的HTTP请求。
在本发明的一个实施例中,图3所示的装置进一步包括:存储单元和接收处理单元;添加单元,进一步适于将添加到最终的HTTP请求中的防注入信息保存到存储单元中;接收处理单元,适于接收服务器返回的HTTP响应,从HTTP响应中提取防注入信息,并将所提取的防注入信息与存储单元中保存的防注入信息进行比较;如果一致则确认HTTP响应合法,如果不一致则确认HTTP响应不合法。
需要说明的是,上述各客户端装置的实施例的具体实施方式与前述对应方法的实施例的具体实施方式相同,需要防范的恶意攻击也在前述实施例中进行了述及,因此在此不再赘述。
图4示出了根据本发明一个实施例的一种防止注入攻击的服务器的结构示意图,如图4所示,防止注入攻击的服务器400包括:
接收单元410,适于接收客户端发送的HTTP请求。
防注入信息提取单元420,适于从HTTP请求中提取防注入信息,并从HTTP请求中删除防注入信息。
参数截取单元430,适于从删除防注入信息的HTTP请求中截取URL参数。
防注入信息生成单元440,适于将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,指定信息包括:预先约定的密钥。
参数截取单元430和防注入信息生成单元440进行的防注入信息的生成方式应当是与客户端侧一致的,因此,如果接收到的HTTP请求合法,服务器400生成的防注入信息应当与从HTTP请求中提取的防注入信息一致。
比较处理单元450,适于将通过预设的加密算法处理得到的防注入信息与从HTTP请求中提取的防注入信息进行比较;如果一致则确定HTTP请求合法,如果不一致则确定HTTP请求为被注入攻击信息的HTTP请求。
可见,图4所示的服务器,对接收到的HTTP请求进行验证,其中对接收到的HTTP请求进行防注入信息的提取,对删除了防注入信息后的HTTP请求截取URL并进行与客户端侧一致生成的防注入信息的方式,对新生成的防注入信息与提取到的防注入信息进行比较可以准确判断HTTP请求是否合法。
在本发明的一个实施例中,图4所示的服务器中,防注入信息生成单元440,适于将截取的各URL参数和预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对字符串进行加密处理,得到防注入信息。
在本发明的一个实施例中,图4所示的服务器进一步包括:存储单元和恶意重发处理单元;防注入信息提取单元,适于将从所接收到的HTTP请求中提取的防注入信息保存到存储单元中;恶意重发处理单元,适于当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断存储单元中保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
在本发明的一个实施例中,图4所示的服务器中,防注入信息生成单元440,适于提取HTTP请求中包含的一个随机/时间戳,将截取的URL参数、预先约定的密钥和随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
在本发明的一个实施例中,图4所示的服务器进一步包括:响应单元,适于将从HTTP请求中提取的防注入信息添加到对应的HTTP响应中,将HTTP响应返回给客户端。
在本发明的一个实施例中,图4所示的服务器进一步包括:鉴权单元,适于根据HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则通知防注入信息提取单元执行从HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不通知防注入信息提取单元。
需要说明的是,上述各服务器实施例的实施例的具体实施方式与前述对应方法的实施例的具体实施方式相同,需要防范的恶意攻击也在前述实施例中进行了述及,因此在此不再赘述。
在本发明的一个实施例中,提供了一种防止注入攻击的系统,包括:至少一如上述任一实施例中的服务器和至少一如上述任一实施例中的客户端装置。
综上所述,本发明的技术方案,通过在客户端侧对待发送给服务器的原始HTTP请求进行截取URL参数的操作,将截取的URL参数和预先指定的信息通过预设的加密算法进行处理,得到包括预先约定的密钥的防注入信息,再将防注入信息添加到原始HTTP请求中得到最终的HTTP请求后发给服务器,而服务器对接收到的HTTP请求,在提取到防注入信息后,将删除防注入信息的HTTP请求采取与客户端相同的方式生成防注入信息,并与提取到的防注入信息进行比较,只有当二者一致才认定该HTTP请求合法。因此,即使经过上述处理得到的最终HTTP请求当被劫持获取到,攻击方如果向劫持到的HTTP请求中注入信息得到伪装请求,那么伪装请求也不能正确地被服务器响应,因此避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的防止注入攻击的客户端和服务器中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种防止注入攻击的方法,应用于客户端,其中,该方法包括:
从待发送给服务器的原始HTTP请求中截取URL参数;
将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;
将所述最终的HTTP请求发给服务器。
A2、如A1所述的方法,其中,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:
将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;
通过MD5算法对所述字符串进行加密处理,得到防注入信息。
A3、如A1所述的方法,其中,
所述指定信息进一步包括:随机数和/或时间戳;
所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;
所述得到最终的HTTP请求进一步包括:将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
A4、如A1所述的方法,其中,该方法进一步包括:
保存添加到所述最终的HTTP请求中的防注入信息;
接收服务器返回的HTTP响应;
从所述HTTP响应中提取防注入信息;
并将所提取的防注入信息与保存的所述防注入信息进行比较;
如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
本发明还公开了B5、一种防止注入攻击的方法,应用于服务器,其中,该方法包括:
接收客户端发送的HTTP请求;
从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;
从删除防注入信息的HTTP请求中截取URL参数;
将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;
如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
B6、如B5所述的方法,其中,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:
将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;
通过MD5算法对所述字符串进行加密处理,得到防注入信息。
B7、如B5所述的方法,其中,该方法进一步包括:
保存从所接收到的HTTP请求中提取的防注入信息;
当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所保存的防注入信息中是否存在同样的防注入信息;
如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
B8、如B5所述的方法,其中,该方法进一步包括:
提取所述HTTP请求中包含的一个随机数和/或时间戳;
所述得到防注入信息进一步包括:将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
B9、如B5所述的方法,其中,该方法进一步包括:
将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中;
将所述HTTP响应返回给客户端。
B10、如B5所述的方法,其中,在从所述HTTP请求中提取防注入信息的步骤之前,该方法进一步包括:
根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;
如果有操作权限,则执行从所述HTTP请求中提取防注入信息的步骤;
如果没有操作权限,则不再执行从所述HTTP请求中提取防注入信息的步骤。
本发明还公开了C11、一种防止注入攻击的客户端装置,其中,该装置包括:
参数截取单元,适于从待发送给服务器的原始HTTP请求中截取URL参数;
防注入信息生成单元,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
添加单元,适于将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;
发送单元,适于将所述最终的HTTP请求发给服务器。
C12、如C11所述的装置,其中,
所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
C13、如C11所述的装置,其中,
所述指定信息进一步包括:随机数和/或时间戳;
所述防注入信息生成单元,适于将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;
所述添加单元,适于将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
C14、如C11所述的装置,其中,该装置进一步包括:存储单元和接收处理单元;
所述添加单元,进一步适于将添加到所述最终的HTTP请求中的防注入信息保存到存储单元中;
所述接收处理单元,适于接收服务器返回的HTTP响应,从所述HTTP响应中提取防注入信息,并将所提取的防注入信息与存储单元中保存的所述防注入信息进行比较;如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
本发明还公开了D15、一种防止注入攻击的服务器,其中,该服务器包括:
接收单元,适于接收客户端发送的HTTP请求;
防注入信息提取单元,适于从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;
参数截取单元,适于从删除防注入信息的HTTP请求中截取URL参数;
防注入信息生成单元,适于将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
比较处理单元,适于将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
D16、如D15所述的服务器,其中,
所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
D17、如D15所述的服务器,其中,该服务器进一步包括:存储单元和恶意重发处理单元;
所述防注入信息提取单元,适于将从所接收到的HTTP请求中提取的防注入信息保存到所述存储单元中;
所述恶意重发处理单元,适于当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所述存储单元中保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
D18、如D15所述的服务器,其中,
所述防注入信息生成单元,适于提取所述HTTP请求中包含的一个随机/时间戳,将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
D19、如D15所述的服务器,其中,该服务器进一步包括:
响应单元,适于将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中,将所述HTTP响应返回给客户端。
D20、如D15所述的服务器,其中,该服务器进一步包括:
鉴权单元,适于根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则通知所述防注入信息提取单元执行从所述HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不通知所述防注入信息提取单元。
本发明还公开了E21、一种防止注入攻击的系统,其中,该系统包括:至少一如D15-D20中任一项所述的服务器和至少一如C11-C14中任一项所述的客户端装置。
Claims (10)
1.一种防止注入攻击的方法,应用于客户端,其中,该方法包括:
从待发送给服务器的原始HTTP请求中截取URL参数;
将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;
将所述最终的HTTP请求发给服务器。
2.如权利要求1所述的方法,其中,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:
将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;
通过MD5算法对所述字符串进行加密处理,得到防注入信息。
3.如权利要求1所述的方法,其中,
所述指定信息进一步包括:随机数和/或时间戳;
所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;
所述得到最终的HTTP请求进一步包括:将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
4.如权利要求1所述的方法,其中,该方法进一步包括:
保存添加到所述最终的HTTP请求中的防注入信息;
接收服务器返回的HTTP响应;
从所述HTTP响应中提取防注入信息;
并将所提取的防注入信息与保存的所述防注入信息进行比较;
如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
5.一种防止注入攻击的方法,应用于服务器,其中,该方法包括:
接收客户端发送的HTTP请求;
从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;
从删除防注入信息的HTTP请求中截取URL参数;
将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;
如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
6.一种防止注入攻击的客户端装置,其中,该装置包括:
参数截取单元,适于从待发送给服务器的原始HTTP请求中截取URL参数;
防注入信息生成单元,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
添加单元,适于将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;
发送单元,适于将所述最终的HTTP请求发给服务器。
7.如权利要求6所述的装置,其中,
所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
8.一种防止注入攻击的服务器,其中,该服务器包括:
接收单元,适于接收客户端发送的HTTP请求;
防注入信息提取单元,适于从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;
参数截取单元,适于从删除防注入信息的HTTP请求中截取URL参数;
防注入信息生成单元,适于将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;
比较处理单元,适于将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
9.如权利要求8所述的服务器,其中,
所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
10.一种防止注入攻击的系统,其中,该系统包括:至少一如权利要求8-9中任一项所述的服务器和至少一如权利要求6-7中任一项所述的客户端装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510745576.5A CN105306473B (zh) | 2015-11-05 | 2015-11-05 | 一种防止注入攻击的方法、客户端、服务器和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510745576.5A CN105306473B (zh) | 2015-11-05 | 2015-11-05 | 一种防止注入攻击的方法、客户端、服务器和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105306473A true CN105306473A (zh) | 2016-02-03 |
CN105306473B CN105306473B (zh) | 2018-06-22 |
Family
ID=55203224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510745576.5A Active CN105306473B (zh) | 2015-11-05 | 2015-11-05 | 一种防止注入攻击的方法、客户端、服务器和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105306473B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105577701A (zh) * | 2016-03-09 | 2016-05-11 | 携程计算机技术(上海)有限公司 | 网络爬虫的识别方法及系统 |
CN105978878A (zh) * | 2016-05-11 | 2016-09-28 | 腾讯科技(深圳)有限公司 | 网页验证方法及装置 |
CN106572105A (zh) * | 2016-10-31 | 2017-04-19 | 中国银联股份有限公司 | 一种url校验的方法及装置 |
CN106911684A (zh) * | 2017-02-17 | 2017-06-30 | 武汉斗鱼网络科技有限公司 | 一种鉴权方法及系统 |
CN108075888A (zh) * | 2016-11-15 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置 |
CN108737476A (zh) * | 2017-04-21 | 2018-11-02 | 杭州海康威视数字技术股份有限公司 | 云存储系统、媒体数据存储方法及系统 |
CN110061967A (zh) * | 2019-03-15 | 2019-07-26 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
CN110417796A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
CN110958221A (zh) * | 2019-10-25 | 2020-04-03 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
CN111756702A (zh) * | 2020-05-29 | 2020-10-09 | 北京沃东天骏信息技术有限公司 | 数据安全防护方法、装置、设备和存储介质 |
CN111917787A (zh) * | 2020-08-06 | 2020-11-10 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
CN111953680A (zh) * | 2020-08-11 | 2020-11-17 | 北京字节跳动网络技术有限公司 | 内容分发网络的反劫持方法、装置、介质和电子设备 |
CN116504365A (zh) * | 2023-06-25 | 2023-07-28 | 安徽影联云享医疗科技有限公司 | 一种医学影像信息共享方法及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012051452A3 (en) * | 2010-10-13 | 2012-06-07 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
CN104426663A (zh) * | 2013-09-07 | 2015-03-18 | 镇江金软计算机科技有限责任公司 | 一种url地址加密方法 |
CN104506518A (zh) * | 2014-12-22 | 2015-04-08 | 中软信息系统工程有限公司 | Mips平台网络系统访问控制的身份认证方法 |
-
2015
- 2015-11-05 CN CN201510745576.5A patent/CN105306473B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012051452A3 (en) * | 2010-10-13 | 2012-06-07 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
CN104426663A (zh) * | 2013-09-07 | 2015-03-18 | 镇江金软计算机科技有限责任公司 | 一种url地址加密方法 |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
CN104506518A (zh) * | 2014-12-22 | 2015-04-08 | 中软信息系统工程有限公司 | Mips平台网络系统访问控制的身份认证方法 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105577701B (zh) * | 2016-03-09 | 2018-11-09 | 携程计算机技术(上海)有限公司 | 网络爬虫的识别方法及系统 |
CN105577701A (zh) * | 2016-03-09 | 2016-05-11 | 携程计算机技术(上海)有限公司 | 网络爬虫的识别方法及系统 |
CN105978878A (zh) * | 2016-05-11 | 2016-09-28 | 腾讯科技(深圳)有限公司 | 网页验证方法及装置 |
CN105978878B (zh) * | 2016-05-11 | 2018-04-10 | 腾讯科技(深圳)有限公司 | 网页验证方法及装置 |
CN106572105A (zh) * | 2016-10-31 | 2017-04-19 | 中国银联股份有限公司 | 一种url校验的方法及装置 |
CN108075888B (zh) * | 2016-11-15 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置、存储介质、电子设备 |
CN108075888A (zh) * | 2016-11-15 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置 |
CN106911684A (zh) * | 2017-02-17 | 2017-06-30 | 武汉斗鱼网络科技有限公司 | 一种鉴权方法及系统 |
CN106911684B (zh) * | 2017-02-17 | 2020-06-16 | 武汉斗鱼网络科技有限公司 | 一种鉴权方法及系统 |
CN108737476A (zh) * | 2017-04-21 | 2018-11-02 | 杭州海康威视数字技术股份有限公司 | 云存储系统、媒体数据存储方法及系统 |
CN110061967A (zh) * | 2019-03-15 | 2019-07-26 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
CN110061967B (zh) * | 2019-03-15 | 2022-02-22 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
CN110417796A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
CN110958221B (zh) * | 2019-10-25 | 2021-12-28 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
CN110958221A (zh) * | 2019-10-25 | 2020-04-03 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
CN111756702A (zh) * | 2020-05-29 | 2020-10-09 | 北京沃东天骏信息技术有限公司 | 数据安全防护方法、装置、设备和存储介质 |
CN111917787A (zh) * | 2020-08-06 | 2020-11-10 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
CN111917787B (zh) * | 2020-08-06 | 2023-07-21 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
CN111953680A (zh) * | 2020-08-11 | 2020-11-17 | 北京字节跳动网络技术有限公司 | 内容分发网络的反劫持方法、装置、介质和电子设备 |
CN111953680B (zh) * | 2020-08-11 | 2022-07-12 | 北京字节跳动网络技术有限公司 | 内容分发网络的反劫持方法、装置、介质和电子设备 |
CN116504365A (zh) * | 2023-06-25 | 2023-07-28 | 安徽影联云享医疗科技有限公司 | 一种医学影像信息共享方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105306473B (zh) | 2018-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105306473A (zh) | 一种防止注入攻击的方法、客户端、服务器和系统 | |
EP3818675B1 (en) | System and method for polluting phishing campaign responses | |
Jovanovic et al. | Preventing cross site request forgery attacks | |
US9032085B1 (en) | Identifying use of software applications | |
CN102480490B (zh) | 一种用于防止csrf攻击的方法和设备 | |
CN105450730A (zh) | 一种处理客户端请求的方法和装置 | |
CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御系统和方法 | |
CN109522726A (zh) | 小程序的鉴权方法、服务器及计算机可读存储介质 | |
CN107426181A (zh) | 恶意Web访问请求的拦截方法及装置 | |
CN108494775A (zh) | 防止利用合法数据或篡改合法数据进行网络攻击的方法 | |
CN102571846A (zh) | 一种转发http请求的方法及装置 | |
CN108605037B (zh) | 传输数字信息的方法 | |
CN106911684B (zh) | 一种鉴权方法及系统 | |
CN108259619B (zh) | 网络请求防护方法及网络通信系统 | |
CN106878250B (zh) | 跨应用的单态登录方法及装置 | |
CN103401957A (zh) | 一种web环境下唯一标识客户端机器的方法 | |
CN107733883B (zh) | 一种检测批量注册账号的方法及装置 | |
CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
CN102946384A (zh) | 用户验证方法和设备 | |
CN105743869A (zh) | Csrf攻击防范方法、网站服务器及浏览器 | |
CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
CN113536250B (zh) | 令牌生成方法、登录验证方法及相关设备 | |
CN103001770A (zh) | 一种用户验证方法、服务器及系统 | |
CN109617917A (zh) | 地址虚拟化Web应用安全防火墙方法、装置和系统 | |
CN106411823A (zh) | 一种基于cdn的访问控制方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220808 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
TR01 | Transfer of patent right |