CN105516208B - 一种有效防止网络攻击的web网站链接动态隐藏方法 - Google Patents
一种有效防止网络攻击的web网站链接动态隐藏方法 Download PDFInfo
- Publication number
- CN105516208B CN105516208B CN201610059519.6A CN201610059519A CN105516208B CN 105516208 B CN105516208 B CN 105516208B CN 201610059519 A CN201610059519 A CN 201610059519A CN 105516208 B CN105516208 B CN 105516208B
- Authority
- CN
- China
- Prior art keywords
- uri
- encrypted
- web
- browser
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种有效防止网络攻击的WEB网站链接动态隐藏方法,其包括以下步骤:1)浏览器端向服务器端发送连接请求;2)服务器端验证是否需要对响应的URI进行加密,将需要加密的URI进行第一次加密,并连同用于对浏览器端加密的脚本文件一起发送给浏览器端;3)建立连接后,浏览器端中的脚步文件对再次访问请求的URI进行第二次加密并发送或直接发送;4)服务器端对浏览器端再次请求的URI进行验证并在验证通过后进行第一次解密和第二次解密,若验证不通过或解密不成功,侧返回出错页面。本发明能够提高WEB网站的安全性,防护撞库攻击、网络爬虫等各种攻击。本发明同时还公开了对应于上述方法的装置。
Description
技术领域
本发明涉及一种WEB网站动态变形加密方法及装置,具体的说是以加密技术和脚本技术为基础来对WEB网站地址的动态化处理。
背景技术
目前,金融和互联网等领域通常是依赖WEB网站来对互联网用户或者是移动智能终端用户提供服务,因此,WEB网站的安全显得十分重要。一旦WEB网站被攻击,众多用户将因此而遭受巨大的损失,而现有的WEB网站,由于存在以下诸多技术上的缺陷,导致容易遭受来自各方面的攻击:
A、爬虫攻击:通过自动化的工具和脚本,获取整个WEB网站的目录和内容,并且可以自动提交各种数据。目前各种抢票、刷号软件,就是通过对网站采取爬虫攻击,实现各种商业目的,例如,春运抢票,就是其中一种情形。
B、撞库攻击:黑客根据互联网上获得的或者泄漏的用户账户和密码信息,通过脚本工具,自动化的向每个WEB服务器提交用户登陆请求,通过大量的登录尝试,直至获取可以登陆的WEB网站的用户名和密码,然后盗取用户的个人资料。
C、恶意软件:特别是在金融领域,各种有针对性的恶意软件可以产生虚假页面冒充真实WEB网站,诱骗用户输入真实的用户名和密码等敏感信息,或者是通过恶意软件截获用户与WEB网站之间的交互数据,获取用户名和密码等敏感信息,从而实现盗号的目的。
为了解决以上所述对于WEB网站的各类攻击,拒绝各种自动化工具和脚本的访问请求和撞库攻击,现有技术通常是采用验证码技术作为辅助手段,来阻止各种自动化工具和脚本。也就是,用户在访问网站或者在网站上提交数据时,必须按网页上的要求正确填写验证码图片中所显示的内容,才能够与网站进行下一步的互动,实现正常访问。例如,在12306网站上预订高铁票时,需要根据要求输入不同的图片。
但由于互联网的用户来源于各个不同的国家和区域,有着不同的教育和文化背景,为了让不同的用户都能理解问题并按要求填写正确的验证码。现有的验证码主要是提供各种基于数字和英文字母的组合,来防范自动化程序和脚本撞库或攻击的目的,同时也使不同用户能正常识别并输入验证码图片上的内容。
但采用验证码的方法,并不能有效解决对于WEB网站的各类攻击,主要是验证码技术存在着以下的不足:
第一,随着图片识别技术的发展,验证码图片的内容很容易被程序所识别,并且识别的准确率达到90%以上。这便造成采用验证码对于网站的爬虫攻击起不到防范作用,无法起到杜绝抢票、刷号的问题。
第二,如果设置的验证码图片过于复杂,便会导致用户体验感下降,增加用户与网站的互动难度,导致用户有可能需要多次输入验证码中的内容才能登陆到WEB网站。
而对于恶意软件的攻击,根据发明人多年来的统计,各种杀毒软件对恶意软件的查杀率不到30%,恶意软件越来越智能化和精细化,很多恶意软件只会在用户访问WEB网站时,并且满足特定的条件下才会被触发,导致用户的敏感信息泄漏。
因此,寻找应对各类对于WEB网站的攻击的有效方法,一直以来都是行业的难题。
发明内容
本发明目的在于克服现有技术的不足,提供一种有效防止网络攻击的WEB网站链接动态隐藏方法,该方法以加解密和脚本技术为基础,对浏览器端和服务端相呼应的统一资源标识符URI进行动态加密隐形,使每一个用户在访问同一个网站的访问请求时,看到的网站的结构和路径都是不一样的,但是其获取到的网站的内容是完全一样的。
本发明解决所述技术问题所采用的技术方案如下:
一种有效防止网络攻击的WEB网站链接动态隐藏方法,包括以下步骤:
1)浏览器端向服务器端发送连接请求;
2)服务器端产生回应并验证是否需要对响应的URI进行加密,若否,则将响应的URI直接发送给浏览器端;否则,将服务器端响应浏览器端请求的URI进行第一次加密,用加密后的URI替换原来的URI并连同用于对浏览器端加密的脚本文件一起发送给浏览器端;
3)浏览器端与服务器端建立连接并再次发出访问请求,浏览器端中的脚步文件对再次访问请求的URI进行第二次加密并发送或直接发送;
4)服务器端对浏览器端再次请求的URI进行第一次解密,若第一次解密不成功,则拒绝浏览器端的再次连接请求;否则进行第二次解密;若第二次解密不成,则拒绝浏览器端的再次连接请求;否则,根据浏览器端请求作出相应的响应。
进一步地,所述步骤3)中,浏览器端先验证再次发出的访问请求URI是否需要加密,若否,则直接发送给服务器端,否则,将再次访问请求的URI进行第二次加密并发送。
进一步地,所述服务器端预先对加密条件、加密算法及密钥的参数进行设置;所述步骤3)中,所述浏览器端预先对加密条件及与所述步骤2)中的脚本文件匹配的加密算法、密钥进行参数设置。
进一步地,所述步骤2)中第一次加密后的URI及步骤3)中第二次加密后的连接请求URI是随机变化且单次有效的。
进一步地,所述步骤4)中,第一次解密是对第二次加密的URI进行解密,包括判断该经第二次加密的URI是否超过有效期,第二次解密是对第一次加密的解密,包括判断该经第一次加密的URI是否超过有效期。
进一步地,所述第一次加密和/或第二次加密是采用非对称加密算法进行加密。
本发明的另一目的在于提供一种实现上述方法的装置:
一种有效防止网络攻击的WEB网站链接动态隐藏装置,包括浏览器端、服务器端,以及,
WEB页面匹配单元,用于收集服务器端发送的URI并将该URI与其内所储存的URI内容进行比对,判断是否需要加密;
加密单元,用于根据WEB页面匹配单元的判断结果对服务器端发送的URI进行加密,并将经加密的含有对浏览器请求路径进行加密的脚本文件的URI发送给服务器端;
解密单元,用于对浏览器端所发送的路径信息进行解密,把解密结果反馈给浏览器端或服务器端。
进一步地,所述浏览器端设有用于监控浏览器访问请求并在该访问请求的内容与预设参数一致时触发脚本文件对访问请求的URI进行加密的判断单元,所述预设参数设于判断单元内。
进一步地,所述经加密单元及脚本文件加密后的URI中设有生效时间标记。
进一步地,所述解密单元包括一次解密单元及二次解密单元,所述一次解密单元及二次解密单元设有识别URI中的生效时间标记并依据该生效时间标记判断该URI是否超过有效期的时效控制单元。
与现有技术相比,本发明的有益效果是:
1、通过对WEB网站进行变形,也就是隐藏真实的网站URI,让撞库攻击找不到攻击对象,从而无法实施,并且在实施与部署的时候无需修改WEB服务器的程序,可以有效的防护目前危害巨大的撞库攻击。
2、通过对WEB网站进行变形让各种抢票工具和抢票软件无法定位网站的登陆URI,从而无法进行抢票操作,可以有效的防护目前令人头疼的各种抢票工具和抢票软件对WEB服务器造成的各种危害和服务性能下降的问题。
3、通过对WEB网站进行变形,让DDOS工具无法定位攻击对象的URI,从而可以有效的防护各种针对于WEB服务器的DDOS攻击。
4、通过对WEB网站进行变形,让各种WEB注入攻击找不到攻击对象的URI,可以有效的防护各种针对于WEB服务器的web注入攻击。
5、通过对WEB网站进行变形,让恶意软件和恶意代码无法被特定的URI触发,从而可以有效的防护各种针对于WEB服务器的用于窃取用户敏感信息的恶意代码或恶意软件。
6、通过对WEB网站进行变形,让爬站工具无法获取网站的目录和架构,有效的防护各种爬站工具针对于WEB服务器的爬站攻击。
附图说明
下面结合附图和具体实施例对本发明作进一步的详细说明:
图1示例性的给出本发明所述方法的流程图;
图2示例性的给出实施例1所述方法的实例框图;
图3示例性的给出本发明所述装置的结构框图。
具体实施方式
下面结合附图对本发明所请求保护的技术方案做详细的解释和说明,但并非是对发明的限定。
实施例1
请参阅图1所示流程示意图,本发明的有效防止网络攻击的WEB网站链接动态隐藏方法,包括以下步骤:
步骤S11,浏览器端向服务器端发送连接请求,这是浏览器与服务器进行交互的第一步,这个步骤可以是浏览器第一次试图与服务器建立连接,也可以是浏览器已与网站服务器建立过连接,也即停留在该网页上,但浏览器与服务器的连接已经断开,再次点击网站页面上的按键时,例如登陆按键,浏览器向服务器所发出的连接请求。
步骤S12,服务器端验证是否需要对响应的URI进行加密,若否,则将响应的URI直接发送给浏览器端;否则,将服务器端响应浏览器端请求的URI进行第一次加密,用加密后的URI替换原来的URI并连同用于对浏览器端加密的脚本文件一起发送给浏览器端。
在服务器端向用户的浏览器发送响应内容之前,首先我们要进行一些预配置,预配置的内容包括:
1、确定需要进行加密的对象,也即确定服务器对于浏览器的哪些响应的URI需要进行加密,使其变形;同时也需要明确浏览器哪些行为对于的URI需要进行加密变形。
2、在服务器端进行加密的算法和密钥等参数设置。
3、浏览器端加密脚本所使用的加密的算法和密钥等参数设置。
4、触发客户端加密脚本工作的特定的浏览器行为,比如,点击WEB页面
中的“用户登陆”按钮行为。
预配置完成后,WEB服务器向用户的浏览器发送响应内容,本发明会通过WEB页面匹配功能,该功能首先会收集web服务器发送的响应内容,然后在整个响应内容中进行字符串的查找,查看在整个响应内容中,包括html内容和各种html页面的引用的其他脚本或对象中的内容,是否存在着预配置的需要变形的URI的对象。如果在服务器的WEB回应页面中查找到了含有预配置中的需要变形的URI的对象,则对匹配的URI对象进行首次加密处理,使用服务器侧的公钥对匹配的URI对象进行非对称加密。
如图2所示,当WEB页面匹配功能,验证得出所获取到的URI的值需要加密,例如为:/login.php,然后以非对称加密算法对该URI进行加密,加密后的URI已经变得和原来不一样,例如成为:1234567。
步骤S13,浏览器端与服务器端建立连接并再次发出访问请求,浏览器端中的脚步文件对再次访问请求的URI进行第二次加密并发送或直接发送。脚步文件在对再次发出的访问请求的URI进行加密前,根据预设的结果,浏览器端可以先验证再次发出的访问请求URI是否需要加密,若否,则直接发送给服务器端,否则,将再次访问请求的URI进行第二次加密并发送。
客户端浏览器在浏览WEB网站时,通常会产生许多用户访问请求。而当浏览器的行为和预配置的客户端脚本触发行为一致时,则会触发随步骤S12中响应一起发送到浏览器端的脚本文件开始工作。浏览器端的脚本文件为加密脚本,可以通过JavaScript技术来获取当前用户请求的URI数据,然后通过浏览器端加密脚本所预配置的非对称加密技术对获取的用户请求的URI数据进行加密,加密可以使用浏览器端加密脚本所带的公钥进行二次加密,然后用加密后的URI替换之前的用户请求的URI,转发到下一个环节进行处理。
如图2所示,经过浏览器端脚本文件对用户请求的URI使用非对称加密算法进行加密,例如是用户请求的URI是步骤SI2中加密后的1234567,则使用客户端加密脚本所预配置的公钥进行加密后的结果为abcdefg。
步骤S14,服务器端对浏览器端再次请求的URI进行第一次解密,若第一次解密不成功,则拒绝浏览器端的再次连接请求;否则进行第二次解密;若第二次解密不成,则拒绝浏览器端的再次连接请求;否则,根据浏览器端请求作出相应的响应。
第一次解密是对第二次加密的URI进行解密,包括判断该经第二次加密的URI是否超过有效期,第二次解密是对第一次加密的解密,包括判断该经第一次加密的URI是否超过有效期。
在步骤S13中经过浏览器端中的加密脚本加密后的用户请求在到达WEB服务器之前要进行第一次解密过程,该解密过程使用客户端加密脚本所对应的私钥来进行解密,同时,这也是一次验证过程。可以正常解密的请求进入下一个环节进行第二次解密处理。无法正常解密的请求则会被导到一个错误页面。
如图2所示,通过使用浏览器端加密脚本所对应的私钥对用户请求进行首次解密之后,用户请求会由abcdefg解密成为1234567,并转发到下一个环节进行第二次解密处理。
经过第一次解密之后的请求在到达WEB服务器之前要进行第二次解密过程,该解密过程使用服务器侧私钥来进行解密,同时,这也是第二次验证过程。可以正常解密的请求进入下一个环节进行WEB页面内容替换,用还原后的正常的用户请求的URI替换客户端浏览器产生的用户请求中的URI。无法正常解密的请求则会被导到一个错误页面。
如图2所示,通过使用服务器端私钥所对用户请求进行二次解密之后,用户请求会由1234567解密成为/login.php,并转发到下一个环节进行WEB页面内容替换处理。经过WEB页面内容替换处理之后,用户请求就会被还原成为一个正常的URI资源,发送给WEB服务器进行处理。
如上所述,本实施例对第一次加密和第二次加密所采用的加密算法是非对称加密,经过加密的URI是随机变化的,即使是指向服务器中相同的内容,加密后每一次出现在浏览器中的URI都是不同,而且每个一个URI使用一次之后便失效。
非对称加密算法是一种密钥的保密方法。非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。
另一方面,甲方可以使用乙方的公钥对机密信息进行签名后再发送给乙方;乙方再用自己的私匙对数据进行验签。
甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要。
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
请参阅图3,相应地,本发明还提供了一种对应于上述有效防止网络攻击的WEB网站链接动态隐藏方法的装置,其包括浏览器端1、服务器端2、WEB页面匹配单元3、加密单元4、解密单元5。
所述WEB页面匹配单元3,用于收集服务器端发送的URI并将该URI与其内所存储的URI内容进行比对,判断是否需要加密。WEB页面匹配单元3中所存储的URI可以包括其所指向的内容,也可以只是URI值。
所述加密单元4,用于根据WEB页面匹配单元的判断结果对服务器端发送的URI进行加密,并将经加密的含有对浏览器请求路径进行加密的脚本文件的URI发送给服务器端。经加密单元4和脚本文件加密后的URI中带有生效时间标记,也即加密的时间点。所述的脚本文件包括判断单元6和二次加密单元7,所述判断单元6用于监控浏览器访问请求并在该访问请求的内容与预设参数一致时触二次加密单元7对访问请求的URI进行加密,该预设参数设在判断单元内。
所述解密单元5,用于对浏览器端所发送的路径信息进行解密,把解密结果反馈给浏览器端或服务器端。解密单元5包括一次解密单元8及二次解密单元9,一次解密单元及二次解密单元设有识别URI中的生效时间标记并依据该生效时间标记判断该URI是否超过有效期的时效控制单元。
其中,WEB页面匹配单元3、加密单元4以及解密单元5可设置于服务器中,也可以是作为独立于服务器的实体产品。
如图2,下面通过一个具体的例子来解释本装置的结构。
在浏览器1向服务器2发送首次建立连接请求后,首先我们需要对浏览器1、服务器2以及WEB页面匹配单元3进行预配置,预配置的主要内容包括:
1、确定需要进行加密的对象,也即确定服务器对于浏览器的哪些响应的URI需要进行加密使其变形;同时也需要明确浏览器哪些行为对于的URI需要进行加密变形。此时需要在WEB页面匹配单元3中设置服务器要求加密的URI或者要求加密的内容所对应的URI数据。
2、在加密单元4和解密单元5中进行加密的算法和密钥等参数设置。加密算法可以是非对称加密法,也可以是现有加密算法中的任意一种。
3、在浏览器1中设置判断单元6以及二次加密单元7所使用的加密的算法和密钥等参数设置。判断单元6中包含触发二次加密单元7工作的特定的浏览器行为,比如,点击WEB页面中的“用户登陆”按钮行为。
预配置完成后,服务器2向用户的浏览器发送响应内容后,WEB页面匹配单元3首先会收集服务器2发送的响应内容,然后在整个响应内容中进行字符串的查找,查看在整个响应内容中,包括html内容和各种html页面的引用的其他脚本或对象中的内容,是否存在着预配置的需要变形的URI的对象。如果在WEB页面匹配单元3的WEB回应页面中查找到了含有预配置中的需要变形的URI的对象,则对匹配的URI对象进行首次加密处理,使用服务器侧的公钥对匹配的URI对象进行非对称加密。
如图2,当WEB页面匹配单元3验证得出所获取到的URI的值需要加密,例如为:/login.php,然后以非对称加密算法对该URI进行加密,加密后的URI已经变得和原来不一样,例如成为:1234567。当浏览器中判断单元6判断得出对应于加密的URI值的用户行为需触二次加密单元7进行加密处理,二次加密单元7便对1234567的URI加密,假设加密后的结果为abcdefg。浏览器1发送该URI至一次解密单元8,若一次解密单元8判断该URI已经超过有效期,则返回出错页面到浏览器1,若判断的结果为URI有效,则用对应的私钥对用户请求进行首次解密,解密后用户请求会由abcdefg解密成为1234567,并转发到二次解密单元9进行第二次解密处理。经二次解密单元9使用私钥对用户请求进行二次解密之后,用户请求会由1234567解密成为/login.php,用户请求被还原成为一个正常的URI资源,发送给服务器2进行处理。
实施例2
下面以本发明应用于12306网站来解决抢票行为作为例子,进一步解释本发明的结构。
首先对12306网站上的抢票行为做分析,各种抢票软件是通过分析12306购票网站的架构,找到几个关键的URL,然后通过脚本的方式,对这几个关键的URL不停的进行参数提交,达到自动化,程序化抢票的目的,其效率要比一般的人工手动点击网站的效率要快几百倍。
在2014版的12306网站上,用户登陆、查询车票、提交订单等几个关键页面的URL如下:
请求登陆页面:https://kyfw.12306.cn/otn/login/init
获得验证码并验
证:https://kyfw.12306.cn/otn/passcodeNew/getPassCodeNew?module=login&r and=sjrand&
登录完成要选择买票人的信息:
https://kyfw.12306.cn/otn/confirmPassenger/getPassengerDTOs
查票的地址和参数如下:https://kyfw.12306.cn/otn/leftTicket/queryT
提交订单的地址:https://kyfw.12306.cn/otn/leftTicket/submitOrderRequest
抢票软件想要成功抢票,需要模拟这些环节的每一步并且需要提交正确的参数。只需要将这些静态URL地址中的一个或几个变成随机动态的URL就可以让各种抢票软件无法正常工作。
将本发明的装置应用于12306网站后,在经过初始的预配置之后,本发明的装置便可有效解决抢票软件的抢票行为,具体如下:
1、客户端浏览器请求12306的首页。
2、12306的网站服务器接收到客户端的请求,并将客户端请求的相应的页面内容发送给WEB页面匹配单元3。
3、如果经判断用户请求的URI需要变形,在本实施案例中为登陆页:
/otn/login/init,则对/otn/login/init进行首次加密处理,使用服务器侧的公钥对/otn/login/init进行非对称加密。
4、加密单元4进行首次加密是,将/otn/login/init使用服务器侧密钥中的公钥进行加密后的URI的值为/asdkjdfaslkjfasdklasfdlj。
5、然后通过加密单位4中的web页面替换模块,将原来web响应页面中的URI由/otn/login/init替换为/asdkjdfaslkjfasdklasfdlj,同时将经过预配置处理后的客户端加密脚本也加载到服务器的响应中。
6、此时客户端浏览器看到的12306的登陆页面的URL为内容为https://kyfw.12306.cn/asdkjdfaslkjfasdklasfdlj,而不是原来WEB网站的真实的URL:https://kyfw.12306.cn/otn/login/init。
7、当正常的用户使用浏览器进行点击网站页面上的“用户登陆”按钮时,经判断单元6判断该行为需要加密,则会触发二次加密单元7开始工作,二次加密单元7通过JavaScript技术来获取当前用户请求的URI数据,在本实施例中为/asdkjdfaslkjfasdklasfdlj,然后通过预配置的非对称加密技术对/asdkjdfaslkjfasdklasfdlj使用二次加密单元7所带的公钥进行二次加密,加密后的结果为/12881223388332832823。如果用户点击其他的链接或按钮,则不会触发客户端加密脚本的运行,产生的用户请求会直接发送。
8、经过客户浏览器端加密后的用户请求在到达网站服务器之前,先发送到一次解密单元8进行有效性判断,若经判断URI有效,则进行第一次解密过程,该解密过程使用客户端加密脚本所对应的私钥来进行解密,将用户请求的URI由/12881223388332832823解密成/asdkjdfaslkjfasdklasfdlj,无法被正常解密的请求则被拒绝。
9、经过第一次解密之后的请求在到达WEB服务器之前还要通过本发明的二次解密单元9进行第二次解密过程,该解密过程使用服务器侧私钥来进行解密,将用户请求的/URI由/asdkjdfaslkjfasdklasfdlj解密为/otn/login/init,同时,这也是第二次验证过程,无法正常解密的请求则被拒绝。
10、经过二次解密后的URI经过WEB页面内容替换处理之后,用户请求就会被还原成为一个正常的URI资源/otn/login/init,发送给12306的WEB服务器进行处理。
11、12306的WEB服务器看到这是一个正常的用户请求,进行响应的处理并回应给客户端浏览器。
以上仅仅是对同一浏览器的一次请求过程做描述,但不同用户的客户端浏览器产生的请求和同一用户的其他次请求都会触发上述过程的循环发生,由于12306网站的登陆URI在不停的发生变化,并且该变化是在一个非常大的范围内一个随机变化,并且每一次都各不相同,这样就使得各种抢票软件也就无法得知真正的后台登陆的URI,从而无法进行模拟登陆,从而无法进行后续的查询和提交订单的操作,同样的本发明也可以对查询链接和提交订单的操作进行动态变化,使得抢票软件更加难以获取后续步骤的真实链接,导致无法抢票。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。
Claims (6)
1.一种有效防止网络攻击的WEB网站链接动态隐藏方法,其特征在于包括以下步骤:
1)浏览器端向服务器端发送连接请求;
2)服务器端产生回应并验证是否需要对响应的URI进行加密,若否,则将响应的URI直接发送给浏览器端;否则,将服务器端响应浏览器端请求的URI进行第一次加密,用加密后的URI替换原来的URI并连同用于对浏览器端加密的脚本文件一起发送给浏览器端;
3)浏览器端与服务器端建立连接并再次发出访问请求,浏览器端中的脚本文件对再次访问请求的URI进行第二次加密并发送或直接发送;
4)服务器端对浏览器端再次请求的URI进行第一次解密,若第一次解密不成功,则拒绝浏览器端的再次连接请求;否则进行第二次解密;若第二次解密不成,则拒绝浏览器端的再次连接请求;否则,根据浏览器端请求作出相应的响应。
2.根据权利要求1所述的WEB网站链接动态隐藏方法,其特征在于:所述步骤3)中,浏览器端先验证再次发出的访问请求URI是否需要加密,若否,则直接发送给服务器端,否则,将再次访问请求的URI进行第二次加密并发送。
3.根据权利要求2所述的WEB网站链接动态隐藏方法,其特征在于:所述步骤2)中,所述服务器端预先对加密条件、加密算法及密钥的参数进行设置;所述步骤3)中,所述浏览器端预先对加密条件及与所述步骤2)中的脚本文件匹配的加密算法、密钥进行参数设置。
4.根据权利要求1~3中任一权利要求所述的WEB网站链接动态隐藏方法,其特征在于:所述步骤2)中第一次加密后的URI及步骤3)中第二次加密后的连接请求URI是随机变化且单次有效的。
5.根据权利要求4所述的WEB网站链接动态隐藏方法,其特征在于:所述步骤4)中,第一次解密是对第二次加密的URI进行解密,包括判断该经第二次加密的URI是否超过有效期,第二次解密是对第一次加密的解密,包括判断该经第一次加密的URI是否超过有效期。
6.根据权利要求1所述的WEB网站链接动态隐藏方法,其特征在于:所述第一次加密和/或第二次加密是采用非对称加密算法进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610059519.6A CN105516208B (zh) | 2016-01-28 | 2016-01-28 | 一种有效防止网络攻击的web网站链接动态隐藏方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610059519.6A CN105516208B (zh) | 2016-01-28 | 2016-01-28 | 一种有效防止网络攻击的web网站链接动态隐藏方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105516208A CN105516208A (zh) | 2016-04-20 |
| CN105516208B true CN105516208B (zh) | 2018-09-28 |
Family
ID=55723843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610059519.6A Active CN105516208B (zh) | 2016-01-28 | 2016-01-28 | 一种有效防止网络攻击的web网站链接动态隐藏方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105516208B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254347B (zh) * | 2016-08-03 | 2019-08-02 | 浙江宇视科技有限公司 | 一种web页面访问方法和装置 |
| CN106101155B (zh) * | 2016-08-23 | 2020-08-21 | 北京信安世纪科技股份有限公司 | 一种保护网站的方法及装置 |
| CN107959660A (zh) * | 2016-10-17 | 2018-04-24 | 中兴通讯股份有限公司 | 一种基于Nginx的静态文件访问方法和装置 |
| CN108074151B (zh) * | 2016-11-14 | 2021-09-03 | 北京京东尚科信息技术有限公司 | 电子商务的防刷单方法和系统 |
| CN108075888B (zh) * | 2016-11-15 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置、存储介质、电子设备 |
| CN106960158A (zh) * | 2017-03-22 | 2017-07-18 | 福建中金在线信息科技有限公司 | 一种防止博客被网络爬虫检索的方法和装置 |
| CN112866228B (zh) * | 2017-09-28 | 2023-04-18 | 中国银联股份有限公司 | 一种控制web系统越权访问的方法和装置 |
| CN108768938B (zh) * | 2018-04-13 | 2019-08-09 | 北京海泰方圆科技股份有限公司 | 一种网页数据加解密方法及装置 |
| CN109617917A (zh) * | 2019-01-21 | 2019-04-12 | 深圳市能信安科技股份有限公司 | 地址虚拟化Web应用安全防火墙方法、装置和系统 |
| CN110395301A (zh) * | 2019-07-30 | 2019-11-01 | 神华包神铁路集团有限责任公司 | 机车作业监控系统、调车机车信号传输方法及装置 |
| CN110839035A (zh) * | 2019-11-19 | 2020-02-25 | 深圳前海环融联易信息科技服务有限公司 | 路径访问控制的方法、装置、计算机设备及存储介质 |
| CN111031024B (zh) * | 2019-12-07 | 2022-02-11 | 杭州安恒信息技术股份有限公司 | 一种暗链验证平台及其暗链验证方法 |
| CN111625278B (zh) * | 2020-05-26 | 2023-12-19 | 深圳云之家网络有限公司 | 一种源代码文件的生成方法及相关设备 |
| CN111931159B (zh) * | 2020-08-11 | 2023-04-07 | 福建天晴在线互动科技有限公司 | 一种网页数据接口合法性验证的方法及其系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777090A (zh) * | 2004-11-18 | 2006-05-24 | 国际商业机器公司 | 资源隐藏与访问控制支持的无状态方法 |
| CN103634307A (zh) * | 2013-11-19 | 2014-03-12 | 北京奇虎科技有限公司 | 一种对网页内容进行认证的方法和浏览器 |
| CN104168262A (zh) * | 2014-07-02 | 2014-11-26 | 百度在线网络技术(北京)有限公司 | 登录第三方站点的方法和服务器 |
| CN104679564A (zh) * | 2015-03-09 | 2015-06-03 | 浙江万朋网络技术有限公司 | 一种通过浏览器启动应用程序的方法 |
-
2016
- 2016-01-28 CN CN201610059519.6A patent/CN105516208B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777090A (zh) * | 2004-11-18 | 2006-05-24 | 国际商业机器公司 | 资源隐藏与访问控制支持的无状态方法 |
| CN103634307A (zh) * | 2013-11-19 | 2014-03-12 | 北京奇虎科技有限公司 | 一种对网页内容进行认证的方法和浏览器 |
| CN104168262A (zh) * | 2014-07-02 | 2014-11-26 | 百度在线网络技术(北京)有限公司 | 登录第三方站点的方法和服务器 |
| CN104679564A (zh) * | 2015-03-09 | 2015-06-03 | 浙江万朋网络技术有限公司 | 一种通过浏览器启动应用程序的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105516208A (zh) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105516208B (zh) | 一种有效防止网络攻击的web网站链接动态隐藏方法 | |
| CN103944900B (zh) | 一种基于加密的跨站请求攻击防范方法及其装置 | |
| Yue et al. | BogusBiter: A transparent protection against phishing attacks | |
| US8627088B2 (en) | System and method for in- and out-of-band multi-factor server-to-user authentication | |
| CN106576041A (zh) | 客户端与服务器之间相互验证的方法 | |
| US7730308B2 (en) | System and method for providing an user's security when setting-up a connection over insecure networks | |
| CN108605037B (zh) | 传输数字信息的方法 | |
| CN107046544A (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
| CN101292496A (zh) | 服务器-客户端计算机网络系统中执行密码操作的设备和方法 | |
| CN109977673A (zh) | 一种基于web网站系统安全的漏洞修复方法及系统 | |
| CN109617917A (zh) | 地址虚拟化Web应用安全防火墙方法、装置和系统 | |
| Cao et al. | Protecting web-based single sign-on protocols against relying party impersonation attacks through a dedicated bi-directional authenticated secure channel | |
| Ye et al. | Formal analysis of a single sign-on protocol implementation for android | |
| Jain et al. | Session hijacking: Threat analysis and countermeasures | |
| Calzavara et al. | Sub-session hijacking on the web: Root causes and prevention | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN105553983B (zh) | 一种网页数据保护方法 | |
| Gao et al. | A research of security in website account binding | |
| CN101453335B (zh) | 用户信息安全输入方法、以及客户端 | |
| Namitha et al. | A Survey on Session Management Vulnerabilities in Web Application | |
| Maddipati | Implementation of Captcha as Graphical Passwords For Multi Security | |
| Gill et al. | Vulnerability Exploiter for Web Applications | |
| Kim et al. | Hash-Based Password Authentication Protocol Against Phishing and Pharming Attacks. | |
| Patel et al. | PHPBB3 BULLETIN BOARD SECURITY TESTING. | |
| Serrats Bayo | A study of security for web applications and APIs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190506 Address after: 510663 Block 1102A, 9B, Caifen Road, Science City, Guangzhou Development Zone, Guangdong Province Patentee after: Guangzhou Anrui Information Technology Co., Ltd. Address before: 510530 Room 202, No. 5, New Mileage, Beiwanke Road, Luogang, Guangzhou, Guangdong Province Patentee before: Qiu Mingcha |
|
| TR01 | Transfer of patent right |