CN107493278B - 一种双向加密webshell的访问方法及装置 - Google Patents

一种双向加密webshell的访问方法及装置 Download PDF

Info

Publication number
CN107493278B
CN107493278B CN201710682133.5A CN201710682133A CN107493278B CN 107493278 B CN107493278 B CN 107493278B CN 201710682133 A CN201710682133 A CN 201710682133A CN 107493278 B CN107493278 B CN 107493278B
Authority
CN
China
Prior art keywords
script file
access
server
encryption algorithm
target script
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710682133.5A
Other languages
English (en)
Other versions
CN107493278A (zh
Inventor
孔德威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710682133.5A priority Critical patent/CN107493278B/zh
Publication of CN107493278A publication Critical patent/CN107493278A/zh
Application granted granted Critical
Publication of CN107493278B publication Critical patent/CN107493278B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种双向加密webshell的访问方法及装置。一种双向加密webshell的访问方法,所述方法应用于管理端,包括:获取目标脚本文件;对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同;向服务端发送访问请求,使所述服务端执行该访问请求中的目标脚本文件;其中,所述访问请求携带有目标脚本文件,所述目标脚本文件包含经过加密的请求数据。采用上述方案,可以实现目标脚本文件对服务端进行访问时不易被防护模块拦截的效果。

Description

一种双向加密webshell的访问方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种双向加密webshell的访问方法及装置。
背景技术
随着网络的快速发展,以网络为基础的各种应用正在逐渐渗透到人们生活的各个角落。这些应用的使用范围变大,一方面使得人们的生活更加便捷,另一方面也造成了网络管理上的不便。例如,受地域限制,网站管理员可能希望在不同的地方都能对服务端进行远程访问;或者,希望实现对所有电脑的访问以满足工作需求。对于上述两种与网络管理有关的实际需求,解决思路是网站管理员在管理端通过webshell来实现对服务端的访问。webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,webshell大多是以动态脚本的形式出现,可以称为目标脚本文件。网站管理员可以使用浏览器或工具来访问上述网页文件,得到一个命令执行环境,实现对服务端的访问。而服务端中可能配置有针对目标脚本文件的防护模块,该防护模块可能会阻止网站管理员实现上述需求。
防护模块一般自带有特征库,特征库包含了一系列与目标脚本文件行为相关的特征值,如果特征库匹配到这些特征值,则防护模块会对目标脚本文件当前行为进行拦截阻断,使得访问失败。现有的主流解决方法是对目标脚本文件进行修改,使得相关的特征值改变,从而无法被特征库匹配到。例如,目标脚本文件执行危险函数eval会产生相关的特征值,当特征库匹配到这些特征值,防护模块会对目标脚本文件执行危险函数eval这一行为进行拦截阻断,使得访问失败。现有主流方法通过对危险函数eval的函数名进行替换使得相关的特征值改变,从而绕过防护模块。但现有方法中,防护模块还是可以检测到对目标脚本文件进行修改这一行为,从而对该行为进行拦截阻断,因此需要研究一种目标脚本文件对服务端进行访问时不易被服务端的防护模块拦截的访问方法。
发明内容
有鉴于此,本申请提供一种双向加密webshell的访问方法及装置。
具体地,一种双向加密webshell的访问方法,所述方法应用于管理端,包括:
获取目标脚本文件;
对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同;
向服务端发送访问请求,使所述服务端执行该访问请求中的目标脚本文件;其中,所述访问请求携带有包含经过加密的请求数据的所述目标脚本文件。
其中,所述目标脚本文件包括:
实现对所述服务端的文件进行操作的脚本文件,
实现对所述服务端的数据库进行操作的脚本文件。
所述方法还包括:
接收所述服务端返回的针对所述访问请求的访问响应;
对所述访问响应携带的经过加密的访问结果进行解密;其中,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同。
一种双向加密webshell的访问方法,所述方法应用于服务端,包括:
接收管理端发送的携带有目标脚本文件的访问请求;其中,所述目标脚本文件包含经过加密的请求数据,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同;
对所述经过加密的目标脚本文件进行解密,得到所述目标脚本文件;
执行所述目标脚本文件,得到访问结果。
还包括:
对所述访问结果进行加密;其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法与加密指令,所述加密算法与所述服务端的防护模块预存储的加密算法不同;
向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果;其中,所述访问响应携带有经过加密的所述访问结果。
一种双向加密webshell的访问装置,所述装置应用于管理端,包括:
管理端获取单元,用于获取目标脚本文件;
管理端加密单元,用于对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同;
管理端请求单元,用于向服务端发送访问请求,使所述服务端执行该访问请求中的目标脚本文件;其中,所述访问请求携带有包含经过加密的请求数据的所述目标脚本文件。
所述目标脚本文件包括:
实现对所述服务端的文件进行操作的脚本文件,
实现对所述服务端的数据库进行操作的脚本文件。
所述装置还包括:
管理端接收单元,用于接收所述服务端返回的针对所述访问请求的访问响应;
管理端解密单元,用于对所述访问响应携带的经过加密的访问结果进行解密;其中,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同。
一种双向加密webshell的访问装置,所述装置应用于服务端,包括:
服务端接收单元,用于接收管理端发送的携带有目标脚本文件的访问请求;其中,所述目标脚本文件包含经过加密的请求数据,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同;
服务端解密单元,用于对所述目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据所述目标脚本文件;
服务端执行单元,用于执行所述目标脚本文件,得到访问结果。
还包括:
服务端加密单元,用于对所述访问结果进行加密;其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法和加密指令,所述加密算法与所述服务端的防护模块预存储的加密算法不同;
服务端请求单元,用于向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果;其中,所述访问响应携带有经过加密的所述访问结果。
上述技术方案中,采用双向加密webshell的访问方法,管理端对目标脚本文件包含的请求数据进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同,同时目标脚本文件携带对访问结果进行加密的加密算法与加密指令,使得服务端对返回的访问结果也进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同。与现有技术相比,本方案可以避免对目标脚本文件进行修改这种可以被防护模块检测到的行为,实现了目标脚本文件对服务端进行访问时不易被防护模块拦截的效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请实施例的一种双向加密webshell的访问方法的交互流程图;
图2是本申请实施例的一种双向加密webshell的访问方法应用于管理端的流程图;
图3是本申请实施例的一种双向加密webshell的访问方法应用于服务端的流程图;
图4是本申请实施例示出的一种管理端双向加密webshell的访问装置结构示意图;
图5是本申请实施例示出的一种服务端双向加密webshell的访问装置结构示意图;
图6是本申请实施例示出的一种双向加密webshell的访问系统的结构示意图。
具体实施方式
这里将详细地对实施例进行说明,以下实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。应当理解,取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先对本发明实施例的一种双向加密webshell的访问方法进行说明,包括:
管理端获取目标脚本文件;
管理端对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同;
管理端向服务端发送访问请求,使所述服务端执行该访问请求中的目标脚本文件;其中,所述访问请求携带有包含经过加密的请求数据的所述目标脚本文件。
服务端接收管理端发送的携带有目标脚本文件的访问请求;其中,所述目标脚本文件包含经过加密的请求数据,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同;
服务端对所述目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据的所述目标脚本文件;
服务端执行所述目标脚本文件,得到访问结果。
服务端对所述访问结果进行加密;其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法,所述加密算法与所述服务端的防护模块预存储的加密算法不同;
服务端向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果;其中,所述访问响应携带有经过加密的所述访问结果。
管理端接收所述服务端返回的针对所述访问请求的访问响应;
管理端对所述访问响应携带的经过加密的访问结果进行解密;其中,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同。
上述技术方案中,采用双向加密webshell的访问方法,管理端对目标脚本文件包含的请求数据进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同,同时目标脚本文件携带对访问结果进行加密的加密算法与加密指令,使得服务端对返回的访问结果也进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同。与现有技术相比,本方案避免了对目标脚本文件进行修改这种可以被防护模块检测到的行为,实现了目标脚本文件对服务端进行访问时不易被防护模块拦截的效果。
下面将对本申请的实施例进行详细描述。
图1所示为本申请实施例一种双向加密webshell的访问方法的交互流程图,具体包括以下步骤:
S101,管理端获取目标脚本文件。其中,目标脚本文件是指以动态脚本形式出现的webshell,称其为“目标”是因为脚本文件可以用于实现特定的功能,典型的动态脚本有asp、php、jsp和cgi等网页文件。本方案中,目标脚本文件分为:实现对服务端的文件进行操作的脚本文件,或实现对服务端的数据库进行操作的脚本文件。其中,对服务端的文件进行操作可以是:对服务端的文件进行增加、删除、修改、查询、上传以及下载;对服务端的数据库进行操作可以是:对服务端的数据库的数据进行增加、删除、修改、查询、上传以及下载。可以理解的是,上述操作仅仅是对本方案的示例性说明,并不能用于限制本方案。
目标脚本文件可以从现有的脚本文件库中获取,该脚本文件库可以是现有公开的资源,也可以是在管理端为本申请特地建立而不公开的资源。优选地,采用在管理端特地为本申请特地建立脚本文件库的方法,可以使得该脚本文件库具有良好的保密性,也就是说,只允许网站管理员获得该脚本文件库的操作权限,以该脚本文件库中的目标脚本文件为基础来实现对服务端的访问,一定程度上提高了本方案的安全性。
S102,管理端加密目标脚本文件包含的请求数据。在管理端对所获取的目标脚本文件包含的请求数据进行加密,所采用的加密算法与服务端的防护模块预存储的加密算法不同。请求数据可以是目标脚本文件中的变量参数。其中,防护模块是设置在服务端的一个模块,用于保护服务端,使之不受非法入侵。防护模块中预存储有加密算法,加密算法可以根据实际需要进行选择。例如,服务端对防护要求比较低时,可以只预存储一种简单的加密算法;服务端对防护要求稍高时,可以预存储一种较为复杂的加密算法;服务端对防护要求较高时,可以预存储多种较为复杂的加密算法。当然,防护模块也可以预存储许多加密算法,但会占用相对较大的内存空间,根据实际需要选择预存储的加密算法更为合理。可以理解的是,网站管理员可以根据实际需求预存储防护模块的加密算法,即网站管理员可以预先知道防护模块所采用的预存储的加密算法。
管理端对所获取的目标脚本文件包含的请求数据采用的加密算法与防护模块预存储的加密算法不同,防护模块无法识别,因此不作拦截,该目标脚本文件可以成功访问服务端。例如,防护模块中预存储有常见的Base64加密算法,管理端采用DES加密算法对所获取的目标脚本文件包含的请求数据进行加密,由于防护模块中未预存储DES加密算法,防护模块无法识别包含经过加密的请求数据的该目标脚本文件而不作拦截,因此该目标脚本文件可以成功访问服务端。
S103,管理端发送访问请求。管理端向服务端发送访问请求,使服务端执行该访问请求中的目标脚本文件。其中,该访问请求携带有包含经过加密的请求数据的目标脚本文件,该目标脚本文件所采用的加密算法与防护模块预存储的加密算法不同。实际中,管理端向服务端发送访问请求,服务端中的防护模块最先接收到该访问请求。
S104,服务端接收访问请求。实际中,服务端的防护模块最先接收到从管理端发送的访问请求,该访问请求携带有包含经过加密的请求数据的目标脚本文件,对目标脚本文件包含的请求数据采用的加密算法与防护模块预存储的加密算法不同。防护模块对该访问请求进行识别,若出现防护模块可以识别该访问请求的情况,即防护模块拦截该访问请求,则检查目标脚本文件包含的请求数据所采用的加密算法与防护模块预存储的加密算法是否相同。该检查行为可以由防护模块预存储的检查算法完成,或者也可以由网站管理员自行检查完成。若检查结果为目标脚本文件包含的请求数据所采用的加密算法与防护模块预存储的加密算法一致,则重新返回至步骤S102,选取符合要求的加密算法执行后续步骤。对目标脚本文件包含的请求数据采用的加密算法与防护模块预存储的加密算法不同,防护模块则无法识别,防护模块将携带有该目标脚本文件的访问请求发送至服务端其他模块,以进行后续操作,网站管理员从而通过该访问请求对服务端实现访问。
S105,服务端解密目标脚本文件包含的经过加密的请求数据。服务端除防护模块以外的其他模块对目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据的目标脚本文件。其中,采用的解密算法与管理端对请求数据采用的加密算法相配套。
S106,服务端执行目标脚本文件得到访问结果。经过步骤S105得到的目标脚本文件分为:实现对服务端的文件进行操作的脚本文件,或实现对服务端的数据库进行操作的脚本文件。相应地,服务端执行对服务端文件的各个操作,具体可以包括:对服务端的文件进行增加、删除、修改、查询,同时还可以将管理端的文件上传到服务端以及将服务端的文件下载到管理端;服务端执行对服务端数据库的各个操作,具体可以包括:对服务端的数据库的数据进行增加、删除、查询、排序、修改,同时还可以将管理端的数据上传到服务端数据库以及将服务端数据库的数据下载到管理端。以上操作仅仅是示意性说明,并不完全包括目标脚本文件可以执行的动作。服务端执行目标脚本文件后得到访问结果,访问结果可以仅仅是目标脚本文件执行成功的提示,也可以是数据或者文件。
S107,服务端加密访问结果。目标脚本文件中携带有对访问结果经行加密的加密算法与加密指令使得服务端对步骤S106得到的访问结果进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同。本步骤中采用的加密算法与步骤S102中管理端对目标脚本文件的加密算法没有必然联系,也就是说,两者相同或者不同都不会影响本申请,只需满足管理端对目标脚本文件包含的请求数据采用的加密算法与服务端防护模块预存储的加密算法不同,服务端对访问结果采用的加密算法与服务端防护模块预存储的加密算法不同即可。服务端根据访问结果生成针对访问请求的访问响应,该访问响应携带有经过加密的访问结果。
S108,服务端返回访问响应。服务端向管理端返回访问响应之前,防护模块对该访问响应进行识别,若出现防护模块可以识别该访问响应的情况,即防护模块拦截该访问响应,则检查访问响应所采用的加密算法与防护模块预存储的加密算法是否相同。该检查行为可以由防护模块预存储的检查算法完成,或者也可以由网站管理员自行检查完成。若检查结果为访问结果采用的加密算法与防护模块预存储的加密算法一致,则重新返回至步骤S107,选取符合要求的加密算法执行后续步骤。服务端向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果。其中,所述访问响应携带有经过加密的所述访问结果。
S109,管理端接收访问响应。管理端接收服务端返回的针对访问请求的访问响应,该访问响应携带有经过加密的访问结果。
S110,管理端解密经过加密的访问结果。管理端对该访问响应携带的经过加密的访问结果进行解密,从而得到访问结果,其中解密采用的解密算法与服务端加密访问结果的加密算法相配套。访问结果可能仅仅是目标脚本文件执行成功的提示,也可能是数据或者文件。如果是目标脚本文件执行成功的提示,管理端可以选择在管理界面弹出提示框,显示执行成功;如果是数据或者文件,网站管理员可以选择对数据或文件进行后续操作。
下面将说明一种双向加密webshell的访问方法,该方法应用于管理端,参见图2所示,具体包括以下步骤:
S201,管理端获取目标脚本文件。本方案中,目标脚本文件分为:实现对服务端的文件进行操作的脚本文件,或实现对服务端的数据库进行操作的脚本文件。网站管理员以目标脚本文件为基础来实现对服务端的访问。
S202,管理端加密目标脚本文件包含的请求数据。在管理端对所获取的目标脚本文件包含的请求数据进行加密,所采用的加密算法与服务端的防护模块预存储的加密算法不同。其中,防护模块是设置在服务端的一个模块,防护模块中预存储有加密算法,加密算法可以根据实际需要进行选择。网站管理员可以预先知道防护模块所采用的预存储的加密算法。
S203,管理端发送访问请求。管理端向服务端发送访问请求,使服务端执行该访问请求中的目标脚本文件。其中,该访问请求携带有包含经过加密的请求数据的目标脚本文件,请求数据所采用的加密算法与防护模块预存储的加密算法不同。实际中,管理端向服务端发送访问请求,服务端中的防护模块最先接收到该访问请求。
S204,管理端接收访问响应。管理端接收服务端返回的针对访问请求的访问响应,该访问响应携带有经过加密的访问结果。
S205,管理端解密经过加密的访问结果。管理端对该访问响应携带的经过加密的访问结果进行解密,从而得到访问结果,其中解密采用的解密算法与服务端加密访问结果的加密算法相配套。
对应的,将说明一种双向加密webshell的访问方法,该方法应用于服务端,参见图3所示,具体包括以下步骤:
S301,服务端接收访问请求。实际中,服务端的防护模块最先接收到从管理端发送的访问请求,该访问请求携带有包含经过加密的请求数据的目标脚本文件,对请求数据采用的加密算法与防护模块预存储的加密算法不同,防护模块则无法识别该目标脚本文件,防护模块将携带有该目标脚本文件的访问请求发送至服务端其他模块,以进行后续操作,网站管理员从而通过该访问请求对服务端实现访问。
S302,服务端解密目标脚本文件包含的经过加密的请求数据。服务端除防护模块以外的其他模块对目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据的目标脚本文件。其中,采用的解密算法与管理端对该目标脚本文件采用的加密算法相配套。
S303,服务端执行目标脚本文件得到访问结果。服务端执行目标脚本文件后得到访问结果,访问结果可以仅仅是目标脚本文件执行成功的提示,也可以是数据或者文件。
S304,服务端加密访问结果。目标脚本文件中携带有对访问结果经行加密的加密算法与加密指令使得服务端对访问结果进行加密,采用的加密算法与服务端的防护模块预存储的加密算法不同。服务端根据访问结果生成针对访问请求的访问响应,该访问响应携带有经过加密的访问结果。
S305,服务端返回访问响应。服务端向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果。其中,所述访问响应携带有经过加密的所述访问结果。
下面将说明一种双向加密webshell的访问装置,该装置应用于管理端,参见图4所示,管理端双向加密webshell的访问装置400可以包括:管理端获取单元401、管理端加密单元402、管理端请求单元403、管理端接收单元404以及管理端解密单元405。
管理端获取单元401,用于在管理端获取目标脚本文件。
管理端加密单元402,用于在管理端对所获取的目标脚本文件包含的请求数据进行加密,所采用的加密算法与服务端的防护模块预存储的加密算法不同。
管理端请求单元403,用于向服务端发送访问请求,使服务端执行该访问请求中的目标脚本文件;其中,访问请求携带有包含经过加密的请求数据的目标脚本文件。
管理端接收单元404,用于接收服务端返回的针对访问请求的访问响应;
管理端解密单元405,用于对访问响应携带的经过加密的访问结果进行解密;其中,加密采用的加密算法与服务端的防护模块预存储的加密算法不同。
对应地,将说明一种双向加密webshell的访问装置,该装置应用于服务端,参见图5所示,服务端双向加密webshell的访问装置500可以包括:服务端接收单元501、服务端解密单元502、服务端执行单元503、服务端加密单元504、服务端返回单元505。
服务端接收单元501,用于接收管理端发送的携带有目标脚本文件的访问请求;其中,目标脚本文件包含经过加密的请求数据。
服务端解密单元502,用于对目标脚本文件包含的经过加密的请求数据进行解密,得到目标脚本文件。
服务端执行单元503,用于执行目标脚本文件,得到访问结果。
服务端加密单元504,用于对访问结果进行加密;其中,目标脚本文件携带有对所述访问结果进行加密的加密算法,加密算法与服务端的防护模块预存储的加密算法不同;
服务端返回单元505,用于向管理端返回针对访问请求的访问响应,以使管理端对经过加密的访问结果进行解密,得到访问结果;其中,访问响应携带有经过加密的访问结果。
上述管理端双向加密webshell的访问装置400及服务端双向加密webshell的访问装置500可以构成一个系统,共同完成管理端与服务端的交互,参见图6所示。其中,管理端双向加密webshell的访问装置400可以包括:管理端获取单元401、管理端加密单元402、管理端请求单元403、管理端接收单元404以及管理端解密单元405;服务端双向加密webshell的访问装置500可以包括:服务端接收单元501、服务端解密单元502、服务端执行单元503、服务端加密单元504以及服务端返回单元505。
管理端获取单元401,用于在管理端获取目标脚本文件。
管理端加密单元402,用于在管理端对所获取的目标脚本文件包含的请求数据进行加密,所采用的加密算法与服务端的防护模块预存储的加密算法不同。
管理端请求单元403,用于向服务端接收单元501发送访问请求,使服务端执行单元503执行该访问请求中的目标脚本文件;其中,访问请求携带有包含经过加密的请求数据的目标脚本文件。
服务端接收单元501,用于接收管理端请求单元403发送的携带有目标脚本文件的访问请求;其中,目标脚本文件包含经过加密的请求数据。
服务端解密单元502,用于对目标脚本文件包含的经过加密的请求数据进行解密,得到目标脚本文件。
服务端执行单元503,用于执行目标脚本文件,得到访问结果。
服务端加密单元504,用于对服务器执行单元503得到的访问结果进行加密;其中,目标脚本文件携带有对所述访问结果进行加密的加密算法,加密算法与服务端的防护模块预存储的加密算法不同。
服务端返回单元505,用于向管理端接收单元404返回针对访问请求的访问响应,以使管理端对经过加密的访问结果进行解密,得到访问结果;其中,访问响应携带有经过加密的访问结果。
管理端接收单元404,用于接收服务端返回单元505返回的针对访问请求的访问响应。
管理端解密单元405,用于对访问响应携带的经过加密的访问结果进行解密;其中,加密采用的加密算法与服务端的防护模块预存储的加密算法不同。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种双向加密webshell的访问方法,其特征在于,所述方法应用于管理端,包括:
获取目标脚本文件;
对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同,所述请求数据包括所述目标脚本文件中的变量参数;
向服务端发送访问请求,使所述服务端通过执行该访问请求中的目标脚本文件得到访问结果;其中,所述访问请求携带有包含经过加密的请求数据的所述目标脚本文件,所述目标脚本文件携带有对访问结果进行加密的加密算法与加密指令,以使所述服务端对所述访问结果进行加密。
2.根据权利要求1所述的方法,其特征在于,所述目标脚本文件包括:
实现对所述服务端的文件进行操作的脚本文件,
实现对所述服务端的数据库进行操作的脚本文件。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述服务端返回的针对所述访问请求的访问响应;
对所述访问响应携带的经过加密的访问结果进行解密;其中,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同。
4.一种双向加密webshell的访问方法,其特征在于,所述方法应用于服务端,包括:
接收管理端发送的携带有目标脚本文件的访问请求;其中,所述目标脚本文件包含经过加密的请求数据,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同,所述请求数据包括所述目标脚本文件中的变量参数;
对所述目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据的所述目标脚本文件;
执行所述目标脚本文件,得到访问结果,并对所述访问结果进行加密,其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法与加密指令。
5.根据权利要求4所述的方法,其特征在于,还包括:
对所述访问结果进行加密;其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法与加密指令,所述加密算法与所述服务端的防护模块预存储的加密算法不同;
向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果;其中,所述访问响应携带有经过加密的所述访问结果。
6.一种双向加密webshell的访问装置,其特征在于,所述装置应用于管理端,包括:
管理端获取单元,用于获取目标脚本文件;
管理端加密单元,用于对所述目标脚本文件包含的请求数据进行加密;其中,对所述请求数据进行加密的加密算法与服务端的防护模块预存储的加密算法不同,所述请求数据包括所述目标脚本文件中的变量参数;
管理端请求单元,用于向服务端发送访问请求,使所述服务端通过执行该访问请求中的目标脚本文件得到访问结果;其中,所述访问请求携带有包含经过加密的请求数据的所述目标脚本文件,所述目标脚本文件携带有对访问结果进行加密的加密算法与加密指令,以使所述服务端对所述访问结果进行加密。
7.根据权利要求6所述的装置,其特征在于,所述目标脚本文件包括:
实现对所述服务端的文件进行操作的脚本文件,
实现对所述服务端的数据库进行操作的脚本文件。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
管理端接收单元,用于接收所述服务端返回的针对所述访问请求的访问响应;
管理端解密单元,用于对所述访问响应携带的经过加密的访问结果进行解密;其中,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同。
9.一种双向加密webshell的访问装置,其特征在于,所述装置应用于服务端,包括:
服务端接收单元,用于接收管理端发送的携带有目标脚本文件的访问请求;其中,所述目标脚本文件包含经过加密的请求数据,所述加密采用的加密算法与所述服务端的防护模块预存储的加密算法不同,所述请求数据包括所述目标脚本文件中的变量参数;
服务端解密单元,用于对所述目标脚本文件包含的经过加密的请求数据进行解密,得到包含请求数据的所述目标脚本文件;
服务端执行单元,用于执行所述目标脚本文件,得到访问结果,并对所述访问结果进行加密,其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法与加密指令。
10.根据权利要求9所述的装置,其特征在于,还包括:
服务端加密单元,用于对所述访问结果进行加密;其中,所述目标脚本文件携带有对所述访问结果进行加密的加密算法和加密指令,所述加密算法与所述服务端的防护模块预存储的加密算法不同;
服务端请求单元,用于向管理端返回针对所述访问请求的访问响应,以使所述管理端对所述经过加密的访问结果进行解密,得到所述访问结果;其中,所述访问响应携带有经过加密的所述访问结果。
CN201710682133.5A 2017-08-10 2017-08-10 一种双向加密webshell的访问方法及装置 Active CN107493278B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710682133.5A CN107493278B (zh) 2017-08-10 2017-08-10 一种双向加密webshell的访问方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710682133.5A CN107493278B (zh) 2017-08-10 2017-08-10 一种双向加密webshell的访问方法及装置

Publications (2)

Publication Number Publication Date
CN107493278A CN107493278A (zh) 2017-12-19
CN107493278B true CN107493278B (zh) 2020-09-08

Family

ID=60644770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710682133.5A Active CN107493278B (zh) 2017-08-10 2017-08-10 一种双向加密webshell的访问方法及装置

Country Status (1)

Country Link
CN (1) CN107493278B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113076550B (zh) * 2021-04-16 2022-10-18 顶象科技有限公司 脚本文本的更新方法、脚本文本的加密方法及装置
CN115344859A (zh) * 2022-10-18 2022-11-15 北京华云安信息技术有限公司 计算机入侵行为检测模型的训练方法、检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905422A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种本地模拟请求辅助查找webshell的方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813237B2 (en) * 2010-06-28 2014-08-19 International Business Machines Corporation Thwarting cross-site request forgery (CSRF) and clickjacking attacks
CN105933268B (zh) * 2015-11-27 2019-05-10 中国银联股份有限公司 一种基于全量访问日志分析的网站后门检测方法及装置
CN106203095A (zh) * 2016-07-07 2016-12-07 众安在线财产保险股份有限公司 一种webshell的检测方法和检测系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905422A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种本地模拟请求辅助查找webshell的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
webshell检测的新思路;石磊等;《第二届全国信息安全等级保护技术大会会议论文集》;20130630;全文 *

Also Published As

Publication number Publication date
CN107493278A (zh) 2017-12-19

Similar Documents

Publication Publication Date Title
US10111096B2 (en) AP connection method, terminal, and server
CN103095457B (zh) 一种应用程序的登录、验证方法
CN107528865B (zh) 文件的下载方法和系统
CN102523218B (zh) 一种网络安全防护方法、设备和系统
CN104852925A (zh) 移动智能终端数据防泄漏安全存储、备份方法
US20160057228A1 (en) Application execution program, application execution method, and information processing terminal device that executes application
CN105812332A (zh) 数据保护方法
CN107786331B (zh) 数据处理方法、装置、系统及计算机可读存储介质
CN111538977B (zh) 云api密钥的管理、云平台的访问方法、装置及服务器
US8977857B1 (en) System and method for granting access to protected information on a remote server
CN204360381U (zh) 移动设备
CN105101183A (zh) 对移动终端上隐私内容进行保护的方法和系统
CN103514000A (zh) 浏览器插件安装方法和装置
CN105528553A (zh) 一种数据安全共享的方法、装置和终端
EP2570960A2 (en) Method of controlling information processing system, program for controlling apparatus
CN105635320A (zh) 一种用于调用配置信息的方法与设备
CN105119928A (zh) 安卓智能终端的数据传输方法、装置及系统
CN111737232A (zh) 数据库管理方法、系统、装置、设备及计算机存储介质
CN107493278B (zh) 一种双向加密webshell的访问方法及装置
CN103905514A (zh) 服务器、终端设备以及网络数据存取权限管理方法
CN103905557A (zh) 用于云环境的数据存储方法和装置、及下载方法和装置
CN107181589A (zh) 一种堡垒机私钥管理方法及装置
KR101473656B1 (ko) 모바일 데이터 보안 장치 및 방법
CN110855656B (zh) 可实现应用服务器防护的插件流量代理方法、装置及系统
CN110008727B (zh) 加密敏感参数的处理方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant