CN105512559A - 一种用于提供访问页面的方法与设备 - Google Patents
一种用于提供访问页面的方法与设备 Download PDFInfo
- Publication number
- CN105512559A CN105512559A CN201410552882.2A CN201410552882A CN105512559A CN 105512559 A CN105512559 A CN 105512559A CN 201410552882 A CN201410552882 A CN 201410552882A CN 105512559 A CN105512559 A CN 105512559A
- Authority
- CN
- China
- Prior art keywords
- xss
- page
- information
- accession page
- processing module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的目的是提供一种用于提供访问页面的方法及设备。与现有技术相比,本申请中的设备先获取网络设备所发送的、待提供至用户设备的访问页面;再确定与所述访问页面相对应的XSS处理模块;再将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。本申请能够有针对性的为每个访问页面设置检测XSS信息的处理模块,以弥补了现有技术中访问页面漏检的情况;同时,能确保当访问页面不安全时,及时提示或阻止所述访问页面中的异常。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种用于提供访问页面的技术。
背景技术
XSS(CrossSiteScripting,跨站脚本攻击)是目前互联网上最常见的攻击类型,攻击者可以通过XSS攻击WEB网站,达到获得该WEB网站用户的敏感信息(比如用户名密码等)、伪造用户身份等目的,是对WEB安全威胁最大的攻击类型之一。
目前,防御XSS攻击通常采用的方式包括如下两种:
1)检测访问页面的漏洞利用漏洞扫描系统所设置的WEB爬虫将WEB网站上所有的URL爬取下来,然后构造一个带有XSS攻击属性的特殊URL,向这个网站上的所有URL逐条发起探测请求,所述漏扫系统会检测WEB服务器返回结果中的字符判断此页面是否存在漏洞。WEB网站管理员根据扫描的结果修复网站上的漏洞。但是,该种方式由于需要通过爬虫分析页面文本中的URL字符串才能构造漏洞探测请求,在WEB2.0时代,WEB网站上大量使用脚本(javascript)实现动态效果。其中,包含URL的动态生成,这就给爬虫爬取URL造成了很大困难,爬不到URL就会产生漏报;漏扫的检测原理是通过构造攻击请求-检查响应文本的方式进行攻击探测,这种静态文本检测方式仅能发现一些比较简单的漏洞;漏扫是个通用的扫描系统,它是通过一些预设的规则发现大量网页中的典型漏洞,然而攻击者的漏洞发现方法通常是针对网站上特定业务做深入挖掘,在这个过程中还会使用一些不为人知的手段,这是漏洞扫描系统力所不能及的。
2)采用WAF技术(WebApplicationFirewall,Web应用防护)检测页面访问请求的漏洞。其中,技术人员将一套或多套软硬件WAF系统部署在WEB网站之前,浏览器向服务器发送的页面访问请求首先需要经过WAF系统,所述WAF系统根据特定的规则检测浏览器请求中的字符,判断其中是否存在攻击特征。对于恶意请求WAF会进行阻断,对于正常请求会给予放行。该种方式的缺点在于,WAF部署在WEB网站之前,接收和转发所有发往WEB网站的请求。出于性能的限制,WAF只能根据规则检查发往WEB服务器请求中的静态文本,用于防护诸如SQL注入、CSRF(Cross-siterequestforgery,跨站请求伪造)等攻击类型比较有效,然而对于精心构造的XSS攻击请求则力不从心。WAF只能检测页面访问请求中的字符,如果网站在WAF部署之前就已经遭受了存储型XSS攻击,那么即便之后部署了WAF,也无法检测和防护已遭受的攻击造成的危害。
申请内容
本申请的目的是提供一种用于提供访问页面的方法与设备。
根据本申请的一个方面,提供了一种用于提供访问页面的方法,所述方法包括:
获取网络设备所发送的、待提供至用户设备的访问页面;
确定与所述访问页面相对应的XSS处理模块;
将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
根据本申请的另一方面,还提供了一种用于提供访问页面的设备,所述设备包括:
第一装置,用于获取网络设备所发送的、待提供至用户设备的访问页面;
第二装置,用于确定与所述访问页面相对应的XSS处理模块;
第三装置,用于将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
与现有技术相比,本申请通过按照预设的策略为所获取的访问页面确定相匹配的XSS处理模块,能够有针对性的为每个访问页面设置检测XSS信息的处理模块,以弥补了现有技术中访问页面漏检的情况;同时,本申请将所述访问页面和相应的XSS处理模块发送给用户设备,并使XSS处理模块在所述访问页面被加载时运行,能确保当访问页面不安全时,及时提示或阻止所述访问页面中的异常。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的一种用于提供访问页面的设备示意图;
图2示出根据本申请一个优选实施例的一种用于提供访问页面的设备示意图;
图3示出根据本申请另一个方面的一种用于提供访问页面的方法的流程图;
图4示出根据本申请一个优选实施例的一种用于提供访问页面的方法的流程图;
申请附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
图1示出根据本申请一个方面的一种用于提供访问页面的设备,其中,提供访问页面的设备2包括第一装置21、第二装置22和第三装置23。具体地,第一装置21获取网络设备3所发送的、待提供至用户设备1的访问页面;第二装置22确定与所述访问页面相对应的XSS处理模块;第三装置23将所述XSS处理模块与所述访问页面转发至所述用户设备1,其中,所述XSS处理模块在所述用户设备1加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
在此,所述提供访问页面的设备2可以与所述网络设备3公用,也可以位于所述网络设备3和用户设备1之间。所述提供访问页面的设备2可由网络主机、单个网络服务器、多个网络服务器集等实现。本领域技术人员应能理解上述提供访问页面的设备2仅为举例,其他现有的或今后可能出现的提供访问页面的设备2如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。在此,所述提供访问页面的设备2包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。在此,所述网络设备3包括但不限于:WEB服务器、服务器集群、基于云技术的服务端等。所述用户设备1指任何能够通过网络访问网页的个人终端,其包括但不限于:个人电脑、笔记本电脑、移动设备等。
具体地,用户设备1按照http、https等约定的通信方式将一页面访问请求发送至所述第一装置21,所述第一装置21将其转发至网络设备3,以便所述网络设备3找到对应反馈的访问页面。其中,所述第一装置21可仅作为转发装置,使得所述页面访问请求在所述用户设备1和网络设备3之间透明的传递。所述网络设备3例如为WEB服务器。
优选地,所述第一装置21获取用户设备1向网络设备3所提交的页面访问请求;再根据预定的攻击请求检测规则检测所述页面访问请求是否为正常访问请求;若所述页面访问请求为正常访问请求,向所述网络设备3转发所述页面访问请求,并接收所述网络设备3基于所述页面访问请求所发送的、待提供至所述用户设备1的访问页面;若所述页面访问请求为异常访问请求,则所述第一装置21可直接拒绝所述用户设备1访问网络设备3。
在此,所述预定的攻击请求检测规则包括:1)检测所述页面访问请求中所携带的内容是否包含预设的攻击信息。例如,所述第一装置21检测所述页面访问请求所携带的SQL语句、CSRF(Cross-siterequestforgery跨站请求伪造)等中是否包含与预设的脚本信息格式相符的脚本信息,若是,则认定所述页面访问请求为异常的访问请求,反之,则为正常访问请求。其中,所述预设的脚本信息包括但不限于:javascript脚本信息。其中,所述攻击信息包括但不限于:所携带的SQL语句中是否包含“<script…>…</script>”等。
2)根据预存储的合法网站的链接列表,检测所述页面访问请求中是否携带与所述链接列表不符的地址链接。例如,所述第一装置21检测所述页面访问请求的url标签中是否包含不属于预存的合法网站页面的链接,若包含,则认定所述页面访问请求为异常的访问请求,反之,则为正常访问请求。
更为优选地,当所述第一装置21确定所接收的页面访问请求为异常请求时,还可以按照所述预定的攻击请求检测规则来进一步甄选,当确定所述页面访问请求中包含XSS信息,则拒绝该页面访问请求,反之,当疑似所述页面访问请求中包含XSS信息,则将所述页面访问请求转发至所述网络设备3,再由所述第二装置22对所述网络设备3所反馈的访问页面进行XSS信息的检测处理。所述第二装置22的处理过程将在后续详述。
例如,所述第一装置21所接收的页面访问请求中所对应的页面仅可能从内部打开,但所接收的页面访问请求中的referer参数为空、或者为其它站点的url时,则所述第一装置21根据预设的检测规则确定该页面访问请求疑似为XSS信息,则所述第一装置21一方面将所接收的页面访问请求转发至所述网络设备3,以便所述网络设备3反馈相应的访问页面,同时还将所述页面访问请求传递给所述第二装置22,以便所述第二装置22按照预设的策略确定所反馈的访问页面的XSS处理模块。
所述第二装置22可以根据预设的对应网络设备3中各访问页面所设置的策略,来确定与所反馈的访问页面相对应的XSS处理模块。
在此,所述第二装置22确定所反馈的访问页面的方式包括:1)由所述第一装置21提供所述页面访问请求中提取所反馈的访问页面。例如,所述页面访问请求中包含所要访问的页面名称,则所述第二装置22可据此来确定所反馈的访问页面。2)由所述第三装置23接收的所反馈的访问页面的页面名称并提供给所述第二装置22,则所述第二装置22由此来确定所反馈的访问页面。例如,所述第一装置21将所接收的页面访问请求转发至网络设备3,网络设备3将反馈的访问页面发送至所述第三装置23,由所述第三装置23将所述访问页面的页面名称提供给所述第二装置22,所述第二装置22据此来确定所反馈的访问页面。
在此,所述预设的对应网络设备3中各访问页面所设置的策略可以预先为所述网络设备3中的每个访问页面设置对应的XSS处理模块,也可以为根据各页面类型信息来确定相应的XSS处理模块。其中,所述页面类型信息包括但不限于:公共页面、登录页面、登录后的个性页面、后台页面等。
特别针对登录页面和后台页面,当所述第二装置22所得到的访问页面为登录页面,则确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括防表单内容窃取的安全信息。当所述第二装置22所得到的访问页面为后台页面,则确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测异常外部资源访问的安全信息。
例如,所述第二装置22通过匹配所得到的访问页面的名称与预存的登录页面的名称,来确定所得到的访问页面为登录页面,并根据预设的登录页面与XSS处理模块的对应关系来确定所得到的登录页面的XSS处理模块。其中,该XSS处理模块在运行时,需检测所述登录页面中是否包含窃取所述登录页面中的用户名、密码、安全提问、安全回答等表单内容的攻击信息。
又如,所述第二装置22通过匹配所得到的访问页面的名称与预存的后台页面的名称,来确定所得到的访问页面为某一后台页面,再根据预设的各后台页面与XSS处理模块的对应关系来确定所得到的后台页面的XSS处理模块。其中,该XSS处理模块在运行时,需检测所述后台页面中是否包含:外部链接地址、读取用户名和密码的脚本等异常的外部资源访问的安全信息。
特别针对所述第一装置21在转发页面访问请求的同时,还将所述页面访问请求提供给所述第二装置22的情况。所述第二装置22从所述页面访问请求中提取所携带的访问相关信息,则所述第二装置22根据预设的由各种访问相关信息所构成的策略来确定所述网络设备3所反馈的访问页面相对应的XSS处理模块。其中,所述访问相关信息包括任何与待访问页面、用户设备1端的浏览器等相关的信息,其包括但不限于:所述用户设备1的浏览器类型信息、所述访问页面的页面类型信息、所述访问页面的访问来源信息中的至少一项。
具体地,当所述页面访问请求中包含所述用户设备1的浏览器类型信息,所述第二装置22判断若所述用户设备1的浏览器类型信息包括支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括配置于所述访问页面所对应的CSP响应头的安全策略信息;若所述用户设备1的浏览器类型信息包括非支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测所述访问页面中XSS信息、拦截并报告外部资源非法引用的安全信息。
例如,所述第二装置22从所述页面访问请求中提取出的浏览器类型信息为IE9,则根据预设的浏览器类型与XSS处理模块的对应关系,从中得到IE9所对应的XSS处理模块,其中,所述IE9所对应的XSS处理模块在运行时能够通知给浏览器应用一些安全策略,对页面中iframe、img、script、link等资源请求做限制,以便配置所述访问页面所对应的CSP响应头的安全策略信息。
又如,所述页面访问请求中包含IE7的浏览器类型,则所述第二装置22确定相应的XSS处理模块,其中,所确定的XSS处理模块在运行时检测所反馈的访问页面中XSS信息,若存在外部资源非法引用,则拦截并报告用户相应的警告信息。
需要说明的是,本领域技术人员应该理解,上述浏览器类型仅为举例,其他现有的或今后可能出现的浏览器类型(IE10、IE11、WAP浏览器等)如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
当所述页面访问请求中包含所述访问页面的页面类型信息,所述第二装置22从预设的页面类型信息与XSS处理模块的对应关系中得到对应所解析出的页面类型信息所对应的XSS处理模块。其中,所述页面类型信息包括但不限于:登录页面、后台页面等。
需要说明的是,本领域技术人员应该理解,本实施例所述的第二装置22根据登录页面和后台页面来确定相应访问页面的XSS处理模块的方式与前述实施例中的第二装置22根据登录页面和后台页面来确定相应访问页面的XSS处理模块的方式相同或相似,故在此不再详述。
当所述页面访问请求中包含所述访问页面为内部打开的访问来源信息,所述第二装置22判断所述页面访问请求中若包含名为“referrer”的头信息中的内容是否为空或为其他站点的链接,则确定能够阻止页面跳转或提示安全警告信息的XSS处理模块。反之,所述第二装置22则确定能够检测异常的外部资源非法引用的XSS处理模块。
例如,所述页面访问请求所对应的访问页面A1为内嵌在另一访问页面A2中的网页,故,在所述页面访问请求的“referrer”的头信息中的内容应该为A2,但所述第二装置22所得到的“referrer”的头信息中的内容为空,则所述第二装置22根据相应的策略,将能够提示安全警告信息的XSS处理模块予以确定,并提供给所述第三装置23。
需要说明的是,所述第二装置22所设定的由各种访问相关信息所构成的策略既可以仅针对上述三种访问相关信息中的一种进行设置,也可以给予上述各访问相关信息的策略进行组合或优化。所述第二装置22在确定了XSS处理模块后,将所确定的XSS处理模块提供给所述第三装置23。
所述第三装置23将所述第二装置22所提供的XSS处理模块与所述访问页面转发至所述用户设备1,其中,所述XSS处理模块在所述用户设备1加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
在此,所述第三装置23将所述XSS处理模块与所述访问页面转发至所述用户设备1的方式包括但不限于:1)将所述XSS处理模块添加至所述访问页面;再将包含所述XSS处理模块的所述访问页面转发至所述用户设备1。例如,所述XSS处理模块为脚本,则所述第三装置23将所述XSS处理模块添加在所述访问页面的头信息处,以将所述XSS处理模块合并到所述访问页面的头信息中,并将合并后的所述访问页面转发至所述用户设备1处。
2)在所述访问页面的头信息中添加调用所述XSS处理模块的调用语句,并将所述XSS处理模块以外联的方式与添加后的访问页面一并发送至所述用户设备1处。例如,所述第三装置23在所述访问页面的HTTP头信息中添加<scripttype="text/javascript"src="http://dir/js/xssdetect.js"></script>并发送至用户设备1处,所述用户设备1在解析所述访问页面时,根据所述HTTP头信息中的http://dir/js/xssdetect.js地址将名为xssdetect.js的XSS处理模块予以下载并运行。
其中,所述XSS处理模块在运行时用以处理所述访问页面中的XSS信息。其具体的处理过程包括:
1)检测所述访问页面中是否包括XSS信息,若所述访问页面中包括XSS信息,阻止执行所述XSS信息,反之,则允许浏览器正常解析所述访问页面。例如,当用户设备1中的浏览器加载所述访问页面时,首先根据头信息中的XSS处理模块运行所述XSS处理模块,所述XSS处理模块检测所述访问页面中的链接标签、表单标签等中是否包含XSS信息,若是,则阻止该XSS信息的执行,若否,则交由浏览器正常解析并显示所述访问页面。其中,所述XSS信息通常以脚本形式存在。
2)检测所述访问页面中是否包括类XSS信息,若所述访问页面中包括类XSS信息,报告所述类XSS信息,反之,则允许浏览器正常解析所述访问页面。例如,当用户设备1中的浏览器加载所述访问页面时,首先根据头信息中的XSS处理模块运行所述XSS处理模块,所述XSS处理模块检测所述访问页面中的链接标签、表单标签等中是否包含疑似XSS信息的类XSS信息,若是,则在浏览器中提示用户当前所显示的访问页面中含有疑似XSS攻击的安全警告,若否,则交由浏览器正常解析并显示所述访问页面。其中,所述类XSS信息的确定可以根据所检测的标签中含有脚本,但该脚本与预设的XSS攻击脚本格式并不完全相同,从而认定该脚本为类XSS信息。优选地,所述XSS处理模块在确定所述类XSS信息后,将所述类XSS信息通过网络发送至所述用于提供访问页面的设备2、或其他网络设备3,以便技术人员对所述类XSS信息进行进一步的分析。
作为一种优选实施例,针对XSS信息的不断更新、创新,所述XSS处理模块中的XSS处理规则也需要随之变化。为此,如图2所示,所述用户提供访问页面的设备2除了包含第一装置21、第二装置22和第三装置23外,还包括第四装置24。
具体地,当所述第一装置21将来自用户设备1的页面访问请求转发至网络设备3的同时,还将该页面访问请求提供给所述第二装置22,由所述第二装置22从中提取访问相关信息,并根据所述访问相关信息所对应的策略来确定与所述页面访问请求相对应的访问页面的XSS处理模块,当网络设备3将所反馈的访问页面转发至所述第三装置23时,所述第三装置23将所述第二装置22所确定的XSS处理模块和所述访问页面一并转发至所述用户设备1。所述用户设备1在运行XSS处理模块时,所述XSS处理模块在发现类XSS信息时,将所述类XSS信息发送至所述第四装置24,由所述第四装置24根据所述类XSS信息建立或更新用于生成后续XSS处理模块的XSS处理规则。
在此,所述第一装置21、第二装置22和第三装置23的工作过程与前述实施例中的第一装置21、第二装置22和第三装置23的工作过程相同或相似,故在此不再详述。
在此,所述第四装置24根据所述类XSS信息建立用于生成后续XSS处理模块的XSS处理规则的方式包括但不限于:由技术人员根据所分析确定为XSS信息的类XSS信息的处理规则,利用所述第四装置24建立新的XSS处理模块。
在此,所述第四装置24根据所述类XSS信息更新用于生成后续XSS处理模块的XSS处理规则的方式包括但不限于:所述第四装置24通过预设的XSS信息的特征进一步分析所接收的类XSS信息,若确定所述类XSS信息为一种改进的XSS信息,则按照该改进的XSS信息的规则将对应的处理规则添加到现有的XSS模块的处理规则中。
图3示出根据本申请一个方面的一种用于提供访问页面的方法,其中,提供访问页面的方法包括步骤S1、S2和S3。其中,所述用于提供访问页面的方法主要由用于提供访问页面的设备来执行。
具体地,在步骤S1中,所述用于提供访问页面的设备获取网络设备所发送的、待提供至用户设备的访问页面;在步骤S2中,所述用于提供访问页面的设备确定与所述访问页面相对应的XSS处理模块;在步骤S3中,所述用于提供访问页面的设备将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
在此,所述提供访问页面的设备可以与所述网络设备公用,也可以位于所述网络设备和用户设备之间。所述提供访问页面的设备可由网络主机、单个网络服务器、多个网络服务器集等实现。本领域技术人员应能理解上述提供访问页面的设备仅为举例,其他现有的或今后可能出现的提供访问页面的设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。在此,所述提供访问页面的设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。在此,所述网络设备包括但不限于:WEB服务器、服务器集群、基于云技术的服务端等。所述用户设备指任何能够通过网络访问网页的个人终端,其包括但不限于:个人电脑、笔记本电脑、移动设备等。
具体地,用户设备按照http、https等约定的通信方式将一页面访问请求发送至所述用于提供访问页面的设备,所述用于提供访问页面的设备将其转发至网络设备,以便所述网络设备找到对应反馈的访问页面。其中,所述用于提供访问页面的设备仅转发所述页面访问请求,使得所述页面访问请求在所述用户设备和网络设备之间透明的传递。所述网络设备例如为WEB服务器。
优选地,所述用于提供访问页面的设备获取用户设备向网络设备所提交的页面访问请求;再根据预定的攻击请求检测规则检测所述页面访问请求是否为正常访问请求;若所述页面访问请求为正常访问请求,向所述网络设备转发所述页面访问请求,并接收所述网络设备基于所述页面访问请求所发送的、待提供至所述用户设备的访问页面;若所述页面访问请求为异常访问请求,则所述用于提供访问页面的设备可直接拒绝所述用户设备访问网络设备。
在此,所述预定的攻击请求检测规则包括:1)检测所述页面访问请求中所携带的内容是否包含预设的攻击信息。例如,所述用于提供访问页面的设备检测所述页面访问请求所携带的SQL语句、CSRF(Cross-siterequestforgery跨站请求伪造)等中是否包含与预设的脚本信息格式相符的脚本信息,若是,则认定所述页面访问请求为异常的访问请求,反之,则为正常访问请求。其中,所述预设的脚本信息包括但不限于:javascript脚本信息。其中,所述攻击信息包括但不限于:所携带的SQL语句中是否包含“<script…>…</script>”等。
2)根据预存储的合法网站的链接列表,检测所述页面访问请求中是否携带与所述链接列表不符的地址链接。例如,所述用于提供访问页面的设备按照预设的链接列表检测所述页面访问请求的url标签中是否包含不属于预存的合法网站页面的链接,若包含,则认定所述页面访问请求为异常的访问请求,反之,则为正常访问请求。
更为优选地,当所述用于提供访问页面的设备确定所述页面访问请求为异常请求时,还可以按照所述预定的攻击请求检测规则来进一步甄选,当确定所述页面访问请求中包含XSS信息,则拒绝该页面访问请求,反之,当疑似所述页面访问请求中包含XSS信息,则将所述页面访问请求转发至所述网络设备,再由所述用于提供访问页面的设备对所述网络设备所反馈的访问页面进行XSS信息的检测处理。所述用于提供访问页面的设备的处理过程将在后续详述。
例如,所述用于提供访问页面的设备所接收的页面访问请求中所对应的页面仅可能从内部打开,但所接收的页面访问请求中的referer参数为空、或者为其它站点的url时,用于提供访问页面的设备根据预设的检测规则确定该页面访问请求疑似为XSS信息,则所述所述用于提供访问页面的设备一方面将所接收的页面访问请求转发至所述网络设备,以便所述网络设备反馈相应的访问页面,同时还按照预设的策略确定所反馈的访问页面的XSS处理模块。
接着,所述用于提供访问页面的设备可以根据预设的对应网络设备中各访问页面所设置的策略,来确定与所反馈的访问页面相对应的XSS处理模块。
在此,所述用于提供访问页面的设备确定所反馈的访问页面的方式包括:1)通过从所述页面访问请求中提取所反馈的访问页面。例如,所述页面访问请求中包含所要访问的页面名称,则所述用于提供访问页面的设备可据此来确定所反馈的访问页面。2)根据所反馈的访问页面的页面名称来确定所反馈的访问页面。例如,所述用于提供访问页面的设备将所接收的页面访问请求转发至网络设备,网络设备将反馈的访问页面发送至所述用于提供访问页面的设备,由所述用于提供访问页面的设备根据所述访问页面的页面名称来确定所反馈的访问页面。
在此,所述预设的对应网络设备中各访问页面所设置的策略可以预先为所述网络设备中的每个访问页面设置对应的XSS处理模块,也可以为根据各页面类型信息来确定相应的XSS处理模块。其中,所述页面类型信息包括但不限于:公共页面、登录页面、登录后的个性页面、后台页面等。
特别针对登录页面和后台页面,当所述用于提供访问页面的设备所得到的访问页面为登录页面,则确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括防表单内容窃取的安全信息。当所述用于提供访问页面的设备所得到的访问页面为后台页面,则确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测异常外部资源访问的安全信息。
例如,所述用于提供访问页面的设备通过匹配所得到的访问页面的名称与预存的登录页面的名称,来确定所得到的访问页面为登录页面,并根据预设的登录页面与XSS处理模块的对应关系来确定所得到的登录页面的XSS处理模块。其中,该XSS处理模块在运行时,需检测所述登录页面中是否包含窃取所述登录页面中的用户名、密码、安全提问、安全回答等表单内容的攻击信息。
又如,所述用于提供访问页面的设备通过匹配所得到的访问页面的名称与预存的后台页面的名称,来确定所得到的访问页面为某一后台页面,再根据预设的各后台页面与XSS处理模块的对应关系来确定所得到的后台页面的XSS处理模块。其中,该XSS处理模块在运行时,需检测所述后台页面中是否包含:外部链接地址、读取用户名和密码的脚本等异常的外部资源访问的安全信息。
特别针对所述用于提供访问页面的设备在转发页面访问请求的同时,还解析所述页面访问请求的情况。所述用于提供访问页面的设备从所述页面访问请求中提取所携带的访问相关信息,并根据预设的由各种访问相关信息所构成的策略来确定所述网络设备所反馈的访问页面相对应的XSS处理模块。其中,所述访问相关信息包括任何与待访问页面、用户设备端的浏览器等相关的信息,其包括但不限于:所述用户设备的浏览器类型信息、所述访问页面的页面类型信息、所述访问页面的访问来源信息中的至少一项。
具体地,当所述页面访问请求中包含所述用户设备的浏览器类型信息,所述用于提供访问页面的设备判断若所述用户设备的浏览器类型信息包括支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括配置于所述访问页面所对应的CSP响应头的安全策略信息;若所述用户设备的浏览器类型信息包括非支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测所述访问页面中XSS信息、拦截并报告外部资源非法引用的安全信息。
例如,所述用于提供访问页面的设备从所述页面访问请求中提取出的浏览器类型信息为IE9,则根据预设的浏览器类型与XSS处理模块的对应关系,从中得到IE9所对应的XSS处理模块,其中,所述IE9所对应的XSS处理模块在运行时能够通知给浏览器应用一些安全策略,对页面中iframe、img、script、link等资源请求做限制,以便配置所述访问页面所对应的CSP响应头的安全策略信息。
又如,所述页面访问请求中包含IE7的浏览器类型,则所述用于提供访问页面的设备确定相应的XSS处理模块,其中,所确定的XSS处理模块在运行时检测所反馈的访问页面中XSS信息,若存在外部资源非法引用,则拦截并报告用户相应的警告信息。
需要说明的是,本领域技术人员应该理解,上述浏览器类型仅为举例,其他现有的或今后可能出现的浏览器类型(IE10、IE11、WAP浏览器等)如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
当所述页面访问请求中包含所述访问页面的页面类型信息,所述用于提供访问页面的设备从预设的页面类型信息与XSS处理模块的对应关系中得到对应所解析出的页面类型信息所对应的XSS处理模块。其中,所述页面类型信息包括但不限于:登录页面、后台页面等。
需要说明的是,本领域技术人员应该理解,本实施例所述的用于提供访问页面的设备根据登录页面和后台页面来确定相应访问页面的XSS处理模块的方式与前述实施例中的根据登录页面和后台页面来确定相应访问页面的XSS处理模块的方式相同或相似,故在此不再详述。
当所述页面访问请求中包含所述访问页面为内部打开的访问来源信息,所述用于提供访问页面的设备判断所述页面访问请求中若包含名为“referrer”的头信息中的内容是否为空或为其他站点的链接,则确定能够阻止页面跳转或提示安全警告信息的XSS处理模块。反之,所述用于提供访问页面的设备则确定能够检测异常的外部资源非法引用的XSS处理模块。
例如,所述页面访问请求所对应的访问页面A1为内嵌在另一访问页面A2中的网页,故,在所述页面访问请求的“referrer”的头信息中的内容应该为A2,但所述用于提供访问页面的设备所得到的“referrer”的头信息中的内容为空,则所述用于提供访问页面的设备根据相应的策略,将能够提示安全警告信息的XSS处理模块予以确定。
需要说明的是,所述用于提供访问页面的设备所设定的由各种访问相关信息所构成的策略既可以仅针对上述三种访问相关信息中的一种进行设置,也可以给予上述各访问相关信息的策略进行组合或优化。所述用于提供访问页面的设备在确定了XSS处理模块后,执行步骤S3。
步骤S3,所述用于提供访问页面的设备将所述用于提供访问页面的设备所提供的XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
在此,所述用于提供访问页面的设备将所述XSS处理模块与所述访问页面转发至所述用户设备的方式包括但不限于:1)将所述XSS处理模块添加至所述访问页面;再将包含所述XSS处理模块的所述访问页面转发至所述用户设备。例如,所述XSS处理模块为脚本,则所述用于提供访问页面的设备将所述XSS处理模块添加在所述访问页面的头信息处,以将所述XSS处理模块合并到所述访问页面的头信息中,并将合并后的所述访问页面转发至所述用户设备处。
2)在所述访问页面的头信息中添加调用所述XSS处理模块的调用语句,并将所述XSS处理模块以外联的方式与添加后的访问页面一并发送至所述用户设备处。例如,所述用于提供访问页面的设备在所述访问页面的HTTP头信息中添加<scripttype="text/javascript"src="http://dir/js/xssdetect.js"></script>并发送至用户设备处,所述用户设备在解析所述访问页面时,根据所述HTTP头信息中的http://dir/js/xssdetect.js地址将名为xssdetect.js的XSS处理模块予以下载并运行。
其中,所述XSS处理模块在运行时用以处理所述访问页面中的XSS信息。其具体的处理过程包括:
1)检测所述访问页面中是否包括XSS信息,若所述访问页面中包括XSS信息,阻止执行所述XSS信息,反之,则允许浏览器正常解析所述访问页面。例如,当用户设备中的浏览器加载所述访问页面时,首先根据头信息中的XSS处理模块运行所述XSS处理模块,所述XSS处理模块检测所述访问页面中的链接标签、表单标签等中是否包含XSS信息,若是,则阻止该XSS信息的执行,若否,则交由浏览器正常解析并显示所述访问页面。其中,所述XSS信息通常以脚本形式存在。
2)检测所述访问页面中是否包括类XSS信息,若所述访问页面中包括类XSS信息,报告所述类XSS信息,反之,则允许浏览器正常解析所述访问页面。例如,当用户设备中的浏览器加载所述访问页面时,首先根据头信息中的XSS处理模块运行所述XSS处理模块,所述XSS处理模块检测所述访问页面中的链接标签、表单标签等中是否包含疑似XSS信息的类XSS信息,若是,则在浏览器中提示用户当前所显示的访问页面中含有疑似XSS攻击的安全警告,若否,则交由浏览器正常解析并显示所述访问页面。其中,所述类XSS信息的确定可以根据所检测的标签中含有脚本,但该脚本与预设的XSS攻击脚本格式并不完全相同,从而认定该脚本为类XSS信息。优选地,所述XSS处理模块在确定所述类XSS信息后,将所述类XSS信息通过网络发送至所述用于提供访问页面的设备、或其他网络设备,以便技术人员对所述类XSS信息进行进一步的分析。
作为一种优选实施例,如图4所示,针对XSS信息的不断更新、创新,所述XSS处理模块中的XSS处理规则也需要随之变化。为此,所述用户提供访问页面的方法包括:S1’、S2’和S3’和S4’。
具体地,步骤S1’中,当所述用于提供访问页面的设备将来自用户设备的页面访问请求转发至网络设备的同时,还从该页面访问请求中提取访问相关信息,接着,执行步骤S2’,所述用于提供访问页面的设备根据所述访问相关信息所对应的策略来确定与所述页面访问请求相对应的访问页面的XSS处理模块,当网络设备将所反馈的访问页面转发至所述用于提供访问页面的设备时,所述用于提供访问页面的设备执行步骤S3’,即将所确定的XSS处理模块和所述访问页面一并转发至所述用户设备。所述用户设备在运行XSS处理模块时,所述XSS处理模块在发现类XSS信息时,将所述类XSS信息发送至所述用于提供访问页面的设备,由所述用于提供访问页面的设备执行步骤S4’,即根据所述类XSS信息建立或更新用于生成后续XSS处理模块的XSS处理规则。
在此,所述步骤S1’、S2’和S3’与前述实施例中的步骤S1、S2和S3相同或相似,在此不再详述。
在此,所述用于提供访问页面的设备根据所述类XSS信息建立用于生成后续XSS处理模块的XSS处理规则的方式包括但不限于:由技术人员根据所分析确定为XSS信息的类XSS信息的处理规则,利用所述用于提供访问页面的设备建立新的XSS处理模块。
在此,所述用于提供访问页面的设备根据所述类XSS信息更新用于生成后续XSS处理模块的XSS处理规则的方式包括但不限于:所述用于提供访问页面的设备通过预设的XSS信息的特征进一步分析所接收的类XSS信息,若确定所述类XSS信息为一种改进的XSS信息,则按照该改进的XSS信息的规则将对应的处理规则添加到现有的XSS模块的处理规则中。
综上所述,本申请的一种用于提供访问页面的方法与设备,通过按照预设的策略为所获取的访问页面确定相匹配的XSS处理模块,能够有针对性的为每个访问页面设置检测XSS信息的处理模块,以弥补了现有技术中访问页面漏检的情况;同时,本申请将所述访问页面和相应的XSS处理模块发送给用户设备,并使XSS处理模块在所述访问页面被加载时运行,能确保当访问页面不安全时,及时提示或阻止所述访问页面中的异常;另外,当用户设备发送页面访问请求时,对所述页面访问请求进行检测,能够有效阻止XSS信息对网络设备的攻击,使得所述设备不仅是用户设备端的防火墙,还是网络设备的防火墙;还有,当所述XSS处理模块检测的访问页面中包含类XSS信息时,将所述类XSS信息提供给所述设备,由所述设备据此更新或建立相应的处理规则,如此使得XSS处理模块能够根据XSS信息的变化而变化,以便及时处理网络中新出现的XSS信息。所以,本申请有效克服了现有技术中的种种缺点而具高度产业利用价值。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (18)
1.一种用于提供访问页面的方法,其中,该方法包括:
获取网络设备所发送的、待提供至用户设备的访问页面;
确定与所述访问页面相对应的XSS处理模块;
将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
2.根据权利要求1所述的方法,其中,所述获取网络设备所发送的、待提供至用户设备的访问页面包括:
获取用户设备向网络设备所提交的页面访问请求;
根据预定的攻击请求检测规则检测所述页面访问请求是否为正常访问请求;
若所述页面访问请求为正常访问请求,向所述网络设备转发所述页面访问请求,并接收所述网络设备基于所述页面访问请求所发送的、待提供至所述用户设备的访问页面。
3.根据权利要求1或2所述的方法,其中,所述将所述XSS处理模块与所述访问页面转发至所述用户设备包括:
将所述XSS处理模块添加至所述访问页面;
将包含所述XSS处理模块的所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
4.根据权利要求1至3中任一项所述的方法,其中,所述处理所述访问页面中的XSS信息包括:
检测所述访问页面中是否包括XSS信息,若所述访问页面中包括XSS信息,阻止执行所述XSS信息;或
检测所述访问页面中是否包括类XSS信息,若所述访问页面中包括类XSS信息,报告所述类XSS信息。
5.根据权利要求4所述的方法,其中,该方法还包括:
获取所述类XSS信息,并根据所述类XSS信息建立或更新用于生成后续XSS处理模块的XSS处理规则。
6.根据权利要求1至5中任一项所述的方法,其中,所述确定与所述访问页面相对应的XSS处理模块包括:
根据所述访问页面所对应的访问相关信息确定与所述访问页面相对应的XSS处理模块。
7.根据权利要求6所述的方法,其中,所述访问相关信息包括以下至少任一项:
所述用户设备的浏览器类型信息;
所述访问页面的页面类型信息;
所述访问页面的访问来源信息。
8.根据权利要求7所述的方法,其中,所述访问相关信息包括所述用户设备的浏览器类型信息;
其中,所述确定与所述访问页面相对应的XSS处理模块包括:
若所述用户设备的浏览器类型信息包括支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括配置于所述访问页面所对应的CSP响应头的安全策略信息;或
若所述用户设备的浏览器类型信息包括非支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测所述访问页面中XSS信息、拦截并报告外部资源非法引用的安全信息。
9.根据权利要求7或8所述的方法,其中,所述访问相关信息包括所述访问页面的页面类型信息;
其中,所述确定与所述访问页面相对应的XSS处理模块包括:
若所述用户设备的页面类型信息包括登录页面,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括防表单内容窃取的安全信息;或
若所述用户设备的页面类型信息包括后台页面,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测异常外部资源访问的安全信息。
10.一种用于提供访问页面的设备,其中,该设备包括:
第一装置,用于获取网络设备所发送的、待提供至用户设备的访问页面;
第二装置,用于确定与所述访问页面相对应的XSS处理模块;
第三装置,用于将所述XSS处理模块与所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
11.根据权利要求10所述的设备,其中,所述第一装置用于:
获取用户设备向网络设备所提交的页面访问请求;
根据预定的攻击请求检测规则检测所述页面访问请求是否为正常访问请求;
若所述页面访问请求为正常访问请求,向所述网络设备转发所述页面访问请求,并接收所述网络设备基于所述页面访问请求所发送的、待提供至所述用户设备的访问页面。
12.根据权利要求10或11所述的设备,其中,所述第三装置用于:
将所述XSS处理模块添加至所述访问页面;
将包含所述XSS处理模块的所述访问页面转发至所述用户设备,其中,所述XSS处理模块在所述用户设备加载所述访问页面时被执行以处理所述访问页面中的XSS信息。
13.根据权利要求10至12中任一项所述的设备,其中,所述处理所述访问页面中的XSS信息包括:
检测所述访问页面中是否包括XSS信息,若所述访问页面中包括XSS信息,阻止执行所述XSS信息;或
检测所述访问页面中是否包括类XSS信息,若所述访问页面中包括类XSS信息,报告所述类XSS信息。
14.根据权利要求13所述的设备,其中,该设备还包括:
第四装置,用于获取所述类XSS信息,并根据所述类XSS信息建立或更新用于生成后续XSS处理模块的XSS处理规则。
15.根据权利要求10至14中任一项所述的设备,其中,所述第二装置用于:
根据所述访问页面所对应的访问相关信息确定与所述访问页面相对应的XSS处理模块。
16.根据权利要求15所述的设备,其中,所述访问相关信息包括以下至少任一项:
所述用户设备的浏览器类型信息;
所述访问页面的页面类型信息;
所述访问页面的访问来源信息。
17.根据权利要求16所述的设备,其中,所述访问相关信息包括所述用户设备的浏览器类型信息;
其中,所述第二装置用于:
若所述用户设备的浏览器类型信息包括支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括配置于所述访问页面所对应的CSP响应头的安全策略信息;或
若所述用户设备的浏览器类型信息包括非支持CSP响应头,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测所述访问页面中XSS信息、拦截并报告外部资源非法引用的安全信息。
18.根据权利要求16或17所述的设备,其中,所述访问相关信息包括所述访问页面的页面类型信息;
其中,所述第二装置用于:
若所述用户设备的页面类型信息包括登录页面,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括防表单内容窃取的安全信息;或
若所述用户设备的页面类型信息包括后台页面,确定与所述访问页面相对应的XSS处理模块,其中,所述XSS处理模块包括检测异常外部资源访问的安全信息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410552882.2A CN105512559B (zh) | 2014-10-17 | 2014-10-17 | 一种用于提供访问页面的方法与设备 |
| PCT/CN2015/091254 WO2016058489A1 (zh) | 2014-10-17 | 2015-09-30 | 一种用于提供访问页面的方法与设备 |
| HK16110238.3A HK1222020A1 (zh) | 2014-10-17 | 2016-08-29 | 種用於提供訪問頁面的方法與設備 |
| US15/482,609 US10558807B2 (en) | 2014-10-17 | 2017-04-07 | Method and device for providing access page |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410552882.2A CN105512559B (zh) | 2014-10-17 | 2014-10-17 | 一种用于提供访问页面的方法与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105512559A true CN105512559A (zh) | 2016-04-20 |
| CN105512559B CN105512559B (zh) | 2019-09-17 |
Family
ID=55720532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410552882.2A Active CN105512559B (zh) | 2014-10-17 | 2014-10-17 | 一种用于提供访问页面的方法与设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10558807B2 (zh) |
| CN (1) | CN105512559B (zh) |
| HK (1) | HK1222020A1 (zh) |
| WO (1) | WO2016058489A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107301345A (zh) * | 2017-06-06 | 2017-10-27 | 新浪网技术(中国)有限公司 | 一种阻止xss攻击的方法、系统及装置 |
| CN108171051A (zh) * | 2017-12-26 | 2018-06-15 | 国云科技股份有限公司 | 一种对抗xss攻击的方法 |
| CN108228680A (zh) * | 2016-12-22 | 2018-06-29 | 广州市动景计算机科技有限公司 | 页面防劫持方法、装置及客户终端 |
| CN109688122A (zh) * | 2018-12-18 | 2019-04-26 | 西安四叶草信息技术有限公司 | 数据获取方法及设备 |
| WO2020183310A1 (en) * | 2019-03-08 | 2020-09-17 | International Business Machines Corporation | Program interruptions for page importing/exporting |
| CN112395521A (zh) * | 2019-08-19 | 2021-02-23 | 腾讯科技(武汉)有限公司 | 页面处理方法、装置、电子设备及计算机可读存储介质 |
| CN114362978A (zh) * | 2020-09-27 | 2022-04-15 | 华为技术有限公司 | Xss攻击防御方法及相关设备 |
| US11347869B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Secure interface control high-level page management |
| CN114980115A (zh) * | 2021-08-10 | 2022-08-30 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10565384B2 (en) * | 2016-06-21 | 2020-02-18 | Shadow-Soft, LLC | Auto-injection of security protocols |
| CN107800692A (zh) * | 2017-10-13 | 2018-03-13 | 郑州云海信息技术有限公司 | 一种基于web浏览器的XSS漏洞检测方法及系统 |
| CN108390944B (zh) * | 2018-03-28 | 2021-05-04 | 北京小米移动软件有限公司 | 信息交互方法及装置 |
| CN110399723B (zh) * | 2018-06-22 | 2023-05-12 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置、存储介质及电子装置 |
| US11206128B2 (en) | 2019-03-08 | 2021-12-21 | International Business Machines Corporation | Secure paging with page change detection |
| US11303670B1 (en) * | 2019-06-07 | 2022-04-12 | Ca, Inc. | Pre-filtering detection of an injected script on a webpage accessed by a computing device |
| US11611629B2 (en) * | 2020-05-13 | 2023-03-21 | Microsoft Technology Licensing, Llc | Inline frame monitoring |
| CN112351009B (zh) * | 2020-10-27 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置、电子设备及可读存储介质 |
| CN113343152B (zh) * | 2021-06-25 | 2023-08-15 | 咪咕数字传媒有限公司 | 网络资源获取方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| CN103117998A (zh) * | 2012-11-28 | 2013-05-22 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN103618721A (zh) * | 2013-12-03 | 2014-03-05 | 彭岸峰 | 防范跨站脚本攻击xss安全服务 |
| CN103634329A (zh) * | 2013-12-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 跨站点的登录方法、系统及装置 |
| CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控系统及方法 |
| CN103870752A (zh) * | 2012-12-18 | 2014-06-18 | 百度在线网络技术(北京)有限公司 | 一种用于检测Flash XSS漏洞的方法、装置与设备 |
| CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
| JP4405248B2 (ja) * | 2003-03-31 | 2010-01-27 | 株式会社東芝 | 通信中継装置、通信中継方法及びプログラム |
| US8584232B2 (en) * | 2007-04-23 | 2013-11-12 | Sap Ag | Enhanced cross-site attack prevention |
| US20090049547A1 (en) * | 2007-08-13 | 2009-02-19 | Yuan Fan | System for real-time intrusion detection of SQL injection web attacks |
| US8578482B1 (en) * | 2008-01-11 | 2013-11-05 | Trend Micro Inc. | Cross-site script detection and prevention |
| US8601586B1 (en) * | 2008-03-24 | 2013-12-03 | Google Inc. | Method and system for detecting web application vulnerabilities |
| US8225402B1 (en) * | 2008-04-09 | 2012-07-17 | Amir Averbuch | Anomaly-based detection of SQL injection attacks |
| US9154942B2 (en) * | 2008-11-26 | 2015-10-06 | Free Stream Media Corp. | Zero configuration communication between a browser and a networked media device |
| US8413239B2 (en) * | 2009-02-22 | 2013-04-02 | Zscaler, Inc. | Web security via response injection |
| CN101895516B (zh) * | 2009-05-19 | 2014-08-06 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击源的定位方法及装置 |
| US8438312B2 (en) * | 2009-10-23 | 2013-05-07 | Moov Corporation | Dynamically rehosting web content |
| CN101902456B (zh) * | 2010-02-09 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| US8756617B1 (en) * | 2010-05-18 | 2014-06-17 | Google Inc. | Schema validation for secure development of browser extensions |
| US9471787B2 (en) * | 2011-08-25 | 2016-10-18 | International Business Machines Corporation | Detecting stored cross-site scripting vulnerabilities in web applications |
| US10719836B2 (en) * | 2011-09-16 | 2020-07-21 | Amobee, Inc. | Methods and systems for enhancing web content based on a web search query |
| US9471701B2 (en) * | 2012-06-28 | 2016-10-18 | Citrix Systems, Inc. | Methods and systems for secure in-network insertion of web content and web services |
| US8752183B1 (en) * | 2012-07-10 | 2014-06-10 | Hoyt Technologies, Inc. | Systems and methods for client-side vulnerability scanning and detection |
| US9774620B2 (en) * | 2013-06-18 | 2017-09-26 | Microsoft Technology Licensing, Llc | Automatic code and data separation of web application |
| US20150082424A1 (en) * | 2013-09-19 | 2015-03-19 | Jayant Shukla | Active Web Content Whitelisting |
| CN103634305B (zh) * | 2013-11-15 | 2017-11-10 | 北京奇安信科技有限公司 | 网站防火墙的识别方法及设备 |
| US9544318B2 (en) * | 2014-12-23 | 2017-01-10 | Mcafee, Inc. | HTML security gateway |
-
2014
- 2014-10-17 CN CN201410552882.2A patent/CN105512559B/zh active Active
-
2015
- 2015-09-30 WO PCT/CN2015/091254 patent/WO2016058489A1/zh active Application Filing
-
2016
- 2016-08-29 HK HK16110238.3A patent/HK1222020A1/zh unknown
-
2017
- 2017-04-07 US US15/482,609 patent/US10558807B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| CN103117998A (zh) * | 2012-11-28 | 2013-05-22 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控系统及方法 |
| CN103870752A (zh) * | 2012-12-18 | 2014-06-18 | 百度在线网络技术(北京)有限公司 | 一种用于检测Flash XSS漏洞的方法、装置与设备 |
| CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
| CN103618721A (zh) * | 2013-12-03 | 2014-03-05 | 彭岸峰 | 防范跨站脚本攻击xss安全服务 |
| CN103634329A (zh) * | 2013-12-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 跨站点的登录方法、系统及装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108228680A (zh) * | 2016-12-22 | 2018-06-29 | 广州市动景计算机科技有限公司 | 页面防劫持方法、装置及客户终端 |
| CN107301345A (zh) * | 2017-06-06 | 2017-10-27 | 新浪网技术(中国)有限公司 | 一种阻止xss攻击的方法、系统及装置 |
| CN108171051A (zh) * | 2017-12-26 | 2018-06-15 | 国云科技股份有限公司 | 一种对抗xss攻击的方法 |
| CN109688122B (zh) * | 2018-12-18 | 2021-04-30 | 西安四叶草信息技术有限公司 | 数据获取方法及设备 |
| CN109688122A (zh) * | 2018-12-18 | 2019-04-26 | 西安四叶草信息技术有限公司 | 数据获取方法及设备 |
| WO2020183310A1 (en) * | 2019-03-08 | 2020-09-17 | International Business Machines Corporation | Program interruptions for page importing/exporting |
| CN113544680A (zh) * | 2019-03-08 | 2021-10-22 | 国际商业机器公司 | 用于页导入/导出的程序中断 |
| GB2596012A (en) * | 2019-03-08 | 2021-12-15 | Ibm | Program interruptions for page importing/exporting |
| US11347869B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Secure interface control high-level page management |
| US11403409B2 (en) | 2019-03-08 | 2022-08-02 | International Business Machines Corporation | Program interruptions for page importing/exporting |
| GB2596012B (en) * | 2019-03-08 | 2023-01-11 | Ibm | Program interruptions for page importing/exporting |
| CN112395521A (zh) * | 2019-08-19 | 2021-02-23 | 腾讯科技(武汉)有限公司 | 页面处理方法、装置、电子设备及计算机可读存储介质 |
| CN114362978A (zh) * | 2020-09-27 | 2022-04-15 | 华为技术有限公司 | Xss攻击防御方法及相关设备 |
| CN114980115A (zh) * | 2021-08-10 | 2022-08-30 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
| CN114980115B (zh) * | 2021-08-10 | 2023-09-01 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170213032A1 (en) | 2017-07-27 |
| WO2016058489A1 (zh) | 2016-04-21 |
| CN105512559B (zh) | 2019-09-17 |
| HK1222020A1 (zh) | 2017-06-16 |
| US10558807B2 (en) | 2020-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105512559A (zh) | 一种用于提供访问页面的方法与设备 | |
| Stock et al. | How the Web Tangled Itself: Uncovering the History of {Client-Side} Web ({In) Security} | |
| Kirda et al. | Client-side cross-site scripting protection | |
| US9378362B2 (en) | System and method of monitoring attacks of cross site script | |
| CN101964026A (zh) | 网页挂马检测方法和系统 | |
| CN103001817A (zh) | 一种实时检测网页跨域请求的方法和装置 | |
| US20170353434A1 (en) | Methods for detection of reflected cross site scripting attacks | |
| KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| CN105162793A (zh) | 一种防御网络攻击的方法与设备 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| Lin et al. | Phish in sheep's clothing: Exploring the authentication pitfalls of browser fingerprinting | |
| Gupta et al. | Automated discovery of JavaScript code injection attacks in PHP web applications | |
| US8763120B1 (en) | Exploitation detection | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| Varshney et al. | Malicious browser extensions: A growing threat: A case study on Google Chrome: Ongoing work in progress | |
| KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| CN105471821A (zh) | 一种基于浏览器的信息处理方法及装置 | |
| Pazos et al. | XSnare: application-specific client-side cross-site scripting protection | |
| Kerschbaumer et al. | Injecting CSP for fun and security | |
| Mohata et al. | Mobile malware detection techniques | |
| CN109379389A (zh) | 网络攻击防御方法及相关设备 | |
| Kaur et al. | Defense against HTML5 XSS attack vectors: a nested context-aware sanitization technique | |
| Zammouri et al. | SafeBrowse: A new tool for strengthening and monitoring the security configuration of web browsers | |
| Mehta et al. | Model to prevent websites from xss vulnerabilities | |
| Sun et al. | Secure HybridApp: A detection method on the risk of privacy leakage in HTML5 hybrid applications based on dynamic taint tracking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1222020 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |