CN107508839A - 一种控制web系统越权访问的方法和装置 - Google Patents
一种控制web系统越权访问的方法和装置 Download PDFInfo
- Publication number
- CN107508839A CN107508839A CN201710900935.9A CN201710900935A CN107508839A CN 107508839 A CN107508839 A CN 107508839A CN 201710900935 A CN201710900935 A CN 201710900935A CN 107508839 A CN107508839 A CN 107508839A
- Authority
- CN
- China
- Prior art keywords
- server
- response message
- access request
- client
- parameter information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 98
- 238000012544 monitoring process Methods 0.000 claims abstract description 42
- 238000012545 processing Methods 0.000 claims description 24
- 230000001131 transforming effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000013478 data encryption standard Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例涉及网络安全技术领域,尤其涉及一种控制web系统越权访问的方法及装置,包括:代理服务器接收服务器发送的第一响应消息;所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。可以看出,在有代理服务器的应用场景下,若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数,则代理服务器对服务器返回的响应消息中的参数进行加密处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种控制web系统越权访问的方法和装置。
背景技术
越权漏洞是web应用程序中一种常见的安全漏洞,攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。例如当网站的订单信息、用户收货信息等功能存在越权漏洞时,攻击者通过一个普通账户轻易获得该网站所有用户的订单信息、收货信息等,上述信息一旦流落到黑产或电信诈骗行业,将降低网站安全信誉度、并可能给最终用户造成经济损失;如果在支付环节如存在越权漏洞,未严格校验用户权限使得用户可以滥用其他用户的余额或积分等,造成用户资金损失。
现有技术中,关于防御web应用越权漏洞的解决方案是,用户登录网站后,访问具体功能时,后端系统会根据当前用户是否具有相关权限,将根据判断结果展示相关页面或者反馈无操作权限。该方案存在比较大的缺陷是,网站系统功能较多时,应用开发人员进行权限校验会存在遗漏,从而导致WEB应用系统的功能存在越权情况,不能从根本上解决web应用越权漏洞的问题。
发明内容
本发明实施例提供一种控制web系统越权访问的方法和装置,通过使得客户端的访问请求参数具有不可猜测性、不可遍历性,从而从根源上杜绝web应用越权漏洞的发生。
本发明实施例提供一种控制web系统越权访问的方法,包括:
代理服务器接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;
所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。
较佳的,在将加密后的第一响应消息发送给所述客户端之后,还包括:
所述代理服务器接收所述客户端发送的第二页面访问请求消息,判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数,若是,则对所述第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给所述服务器,以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息,其中,所述第二页面访问请求消息是基于所述第一响应消息所生成的。
较佳的,所述对所述第一响应消息加密处理,包括:对所述第一响应消息中的参数进行加密处理;
所述对所述第二页面访问请求消息进行解密处理,包括:对所述第二页面访问请求中的参数进行解密处理。
本发明另一实施例还提供一种控制web系统越权访问的方法,包括:
服务器接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;
所述服务器根据所述业务创建消息,生成参数信息;
所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。
较佳的,所述将所述参数信息进行变形,并将变形后的参数信息存储至所述服务器中,包括:
将所述参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至所述服务器的数据库中;或者,
将所述参数信息进行修改,并将修改后的参数信息存储至所述服务器的数据库中。
本发明实施例还提供一种控制web系统越权访问的装置,包括:
第一接收模块,用于接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;
监控模块,用于判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。
较佳的,所述第一接收模块还用于:在将加密后的第一响应消息发送给所述客户端之后,接收所述客户端发送的第二页面访问请求消息;
所述监控模块,还用于判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数,若是,则对所述第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给所述服务器,以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息,其中,所述第二页面访问请求消息是基于所述第一响应消息所生成的。
较佳的,所述监控模块,具体用于:对所述第一响应消息中的参数进行加密处理;
所述监控模块,具体用于:对所述第二页面访问请求中的参数进行解密处理。
本发明实施例还提供一种控制web系统越权访问的装置,包括:
第二接收模块,接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;
生成模块,根据所述业务创建消息,生成参数信息;
处理模块,所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。
较佳的,所述处理模块,具体用于:
将所述参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至所述服务器的数据库中;或者,
将所述参数信息进行修改,并将修改后的参数信息存储至所述服务器的数据库中。
本发明另一实施例提供了一种计算设备,其包括存储器和处理器,其中,所述存储器用于存储程序指令,所述处理器用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一种方法。
本发明另一实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一种方法。
上述实施例提供的一种控制web系统越权访问的方法及装置,包括:代理服务器接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。可以看出,在有代理服务器的应用场景下,若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数,则代理服务器对服务器返回的响应消息中的参数进行加密处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
上述另一实施例提供的一种控制web系统越权访问的方法及装置,包括:服务器接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;所述服务器根据所述业务创建消息,生成参数信息;所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。可以看出,在没有代理服务器的应用场景下,服务器对接收到业务创建消息后生成的参数信息进行了变形处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种控制web系统越权访问的方法流程示意图;
图2为本发明实施例提供的代理服务器在将加密后的第一响应消息发送给客户端的方法流程示意图;
图3为本发明实施例提供的具体例子的方法流程示意图;
图4为本发明另一实施例提供的一种控制web系统越权访问的方法流程示意图;
图5为本发明实施例提供的一种控制web系统越权访问的装置的结构示意图;
图6为本发明另一实施例提供的一种控制web系统越权访问的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示例性示出了本发明实施例提供的一种控制web系统越权访问的方法,如图1所示,该方法可包括:
S101、代理服务器接收服务器发送的第一响应消息,第一响应消息是服务器通过代理服务器接收到客户端的第一页面访问请求消息后所生成的。
S102、代理服务器判断第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则转至步骤S103,否则,转至步骤S104。
其中,预设规则库中配置的监控参数是根据监控策略确定的,在具体实施时,在不同的应用场景中,预设规则库中可以配置不同的监控参数,例如,在防御有关订单的越权漏洞的场景中,预设规则库中配置的监控参数可以是订单编号,购买日期、手机号、收货人姓名、收货人地址等。
需要说明的是,第一响应消息中携带的第一参数可以是指第一响应消息中携带的一个参数,也可以是指第一响应消息中携带的多个参数。S103、代理服务器对第一响应消息进行加密处理,并将加密后的第一响应消息发送给客户端。
具体的,代理服务器对第一响应消息中的第一参数进行加密处理,其中,代理服务器在对第一响应消息中的第一参数进行加密处理时,可以选择DES(Data EncryptionStandard,数据加密标准)、3DES、AES(Advanced Encryption Standard,高级加密标准)、国密SM1、国密SM2、国密SM3、国密SM4等对称加密算法,当然,代理服务器在对第一响应消息中的第一参数进行加密处理时,也可以选择非对称加密算法,只要存在对应的解密算法即可。
上述代理服务器可以是Web应用服务器,也可以是应用服务器,当然也可以是其它类型的服务器,本发明实施例对代理服务器的类型不进行任何限定。
S104、代理服务器将第一响应消息直接转发给客户端。
可选的,在代理服务器将加密后的第一响应消息发送给客户端之后,代理服务器还可执行下列图2所示的方法流程。
S201、代理服务器接收客户端发送的第二页面访问请求消息,第二页面访问请求消息是基于第一响应消息所生成的。
S202、代理服务器判断第二页面访问请求消息中携带的第二参数是否属于预设规则库中的监控参数,若是,则转至步骤S203。
需要说明的是,第二页面访问请求消息中携带的第二参数可以是指第二页面访问请求消息中携带的一个参数,也可以是指第二页面访问请求消息中携带的多个参数。
S203、代理服务器对第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给服务器。
具体的,代理服务器对第二页面访问请求消息中的第二参数进行解密处理,其中,代理服务器在对第二页面访问请求消息中的第二参数进行解密处理时,可以选择DES(DataEncryption Standard,数据加密标准)、3DES、AES(Advanced Encryption Standard,高级加密标准)、国密SM1、国密SM2、国密SM3、国密SM4等对称解密算法,当然,在代理服务器在对第一响应消息中的第一参数进行加密处理时,选择使用的是非对称加密算法的前提下,代理服务器在对第二页面访问请求消息中的第二参数进行解密处理时,可以选择与之对应的非对称解密算法。
S204、代理服务器将第二页面访问请求消息直接转发给服务器。
上述代理服务器可为反向代理服务器,例如,可以为Nginx、Apache等反向代理服务器。
可选的,为了便于查询,代理服务器可将加密处理的参数以及解密处理的参数存储到指定的日志路径进行保存。
上述的页面访问请求消息以及响应消息可以是基于HTTP(Hyper Text TransferProtocol,超文本传输协议)协议类型的页面访问请求消息以及响应消息,当然,上述的页面访问请求消息以及响应消息也可以是基于其它协议类型的页面访问请求消息以及响应消息。
下面通过一个具体的例子对上述的方法流程进行详细的解释说明。
假设在该例子中,代理服务器在预设规则库中配置的监控参数为:orderid,即代理服务器对客户端发送的页面访问请求消息和服务器发送响应消息进行检测,只要检测到客户端发送的页面访问请求消息或服务器发送响应消息包含id,就对服务器发送的响应消息中的id参数进行加密处理,对客户端发送的页面访问请求消息中的id参数进行解密处理。
进一步假设该例子中服务器的数据库中的订单表格,如下列表格1所示。
表格1
进一步假设,在该例子中当服务器接收到代理服务器发送的页面访问请求http://www.xxx.com/user.php时,对应的响应消息为orderid=20170602000001的部分字段内容以及对应的链接http://www.xxx.com/order.php?orderid=20170602000001;当服务器接收到代理服务器的发送的页面访问请求http://www.xxx.com/order.php?orderid=20170602000001时,对应的响应消息为:包含收货人:张三,电话:138****0000,收货地址:上海市浦东新区张江路185号的响应消息。
如图3所示,该例子的具体执行步骤可包括:
S301、客户端将有关个人的页面访问请求http://www.xxx.com/user.php发送至代理服务器。
S302、代理服务器接收到客户端发送的页面访问请求http://www.xxx.com/user.php后,将该页面访问请求中的参数与预设规则库中配置的监控参数orderid进行比对,由于该代理服务器的预设规则库中配置的监控参数为:orderid,页面访问请求“http://www.xxx.com/user.php”中并不包含orderid,因此,代理服务器将页面访问请求http://www.xxx.com/user.php直接转发到服务器。
S303、服务器接收到代理服务器转发的页面访问请求http://www.xxx.com/user.php后,对页面访问请求进行响应,响应消息为:orderid=20170602000001的部分字段内容以及对应的链接http://www.xxx.com/order.php?orderid=20170606000001服务器将orderid=20170602000001的部分字段内容以及对应的链接http://www.xxx.com/order.php?orderid=20170602000001发送给代理服务器。
S304、代理服务器接收到服务器发送的orderid=20170602000001的部分字段内容以及对应的链接http://www.xxx.com/order.php?orderid=20170602000001,将该链接中的参数与预设规则库中配置的监控参数进行比对,由于该代理服务器的预设规则库中配置的监控参数为:orderid,并且链接http://www.xxx.com/order.php?orderid= 20170602000001中包含orderid,因此,代理服务器对orderid=20170602000001进行加密处理,如选择国密SM4加密得到orderid的参数密文值:564C440013F62C69B4FBD636E5DE3BBE,并将链接http://www.xxx.com/order.php?orderid =20170602000001修改为链接http://www.xxx.com/order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE
S305、代理服务器将链接http://www.xxx.com/order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE发送给客户端。
S306、客户端继续发起页面访问请求http://www.xxx.com/order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE,并将页面访问请求http://www.xxx.com/ order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE发送到代理服务器。
S307、代理服务器接收到页面访问请求http://www.xxx.com/order.php?orderid =564C440013F62C69B4FBD636E5DE3BBE后,将该链接中的参数与预设规则库中的监控参数进行比对,由于该代理服务器的预设规则库中配置的监控参数为:orderid,并且链接http://www.xxx.com/order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE中包含orderid,因此,代理服务器对564C440013F62C69B4FBD636E5DE3BBE进行解密,得到orderid的参数密文值:20170602000001,并将链接http://www.xxx.com/order.php?orderid=564C440013F62C69B4FBD636E5DE3BBE修改为http://www.xxx.com/order.php?orderid= 20170602000001。
S308、代理服务器再将http://www.xxx.com/order.php?orderid= 20170602000001发送给服务器。
S309、服务器接收到http://www.xxx.com/order.php?orderid=20170602000001这个页面访问请求后,将对应的包含收货人:张三,电话:138****0000,收货地址:上海市浦东新区张江路185号的响应消息,发送给代理服务器。
S310、代理服务器将包含收货人:张三,电话:138****0000,收货地址:上海市浦东新区张江路185号的响应消息,发送给客户端。
根据以上内容可以看出,在有代理服务器的应用场景下,若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数,则代理服务器对服务器返回的响应消息中的参数进行加密处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,例如,客户端根本看不到容易猜测、容易遍历的订单编号信息,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
本发明另一实施例还提供一种控制web系统越权访问的方法,如图4所示,该方法可包括:
S401、服务器接收客户端发送的业务创建消息,该业务创建消息用于在服务器中为该客户端创建新业务。
具体的,业务创建消息可以用于在服务器的数据库中为该客户端创建新业务。
S402、服务器根据业务创建消息,生成参数信息。
S403、服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求时,将变形后的参数信息发送给所述客户端。
具体的,服务器可对参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至服务器的数据库中;服务器也可对参数信息进行修改,并将修改后的参数信息存储至服务器的数据库中。
需要说明的是,在执行上述图4所示的方法流程之前,也可以在开发阶段将参数值设置成64位16进制的模式,还可以根据其它因素的组合设置参数值,只要保证设置的参数值不容易被猜测、不容易被遍历即可。
下面通过一个具体的例子对上述的方法流程进行解释说明。
假设服务器在2017年9月22日接收到一个业务创建消息,该业务创建消息中包含收货人:李四、手机:131****0000,收货地址:上海市浦东新区张江路100号,则服务器在接收到该业务创建消息后,可根据接收到的业务创建消息的时间20170922以及随机数001生成订单编号参数orderid=20170922001;之后服务器再对订单编号参数orderid=20170922001进行哈希运算,假设服务器对订单编号参数orderid=20170922001进行哈希运算后的参数orderid=2e7a656da4d0063f66602d9e3cbe825c,则服务器可将经过哈希运算后的订单编号参数orderid=2e7a656da4d0063f66602d9e3cbe825c存储至服务器的数据库中。服务器将经过哈希运算后的订单编号参数orderid=2e7a656da4d0063f66602d9e3cbe825c存储至服务器的数据库中,可如下列表格2所示。
表格2
根据以上内容可以看出,在没有代理服务器的应用场景下,由于服务器对接收到业务创建消息后生成的参数信息进行了变形处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
基于相同的技术构思,本发明实施例还提供一种控制web系统越权访问的装置,如图5所示,该装置可包括:
第一接收模块501,用于接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;
监控模块502,用于判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。
较佳的,第一接收模块501还用于:在将加密后的第一响应消息发送给所述客户端之后,接收所述客户端发送的第二页面访问请求消息;
监控模块502,还用于判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数,若是,则对所述第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给所述服务器,以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息,其中,所述第二页面访问请求消息是基于所述第一响应消息所生成的。
较佳的,监控模块502,具体用于:对所述第一响应消息中的参数进行加密处理;
监控模块502,具体用于:对所述第二页面访问请求中的参数进行解密处理。
本发明另一实施例还提供一种控制web系统越权访问的装置,如图6所示,该装置包括:
第二接收模块601,接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;
生成模块602,根据所述业务创建消息,生成参数信息;
处理模块603,所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。
较佳的,处理模块603,具体用于:
将所述参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至所述服务器的数据库中;或者,
将所述参数信息进行修改,并将修改后的参数信息存储至所述服务器的数据库中。
本发明实施例提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。该计算设备可以包括中央处理器(Center Processing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储控制web系统越权访问方法的程序。
处理器通过调用存储器存储的程序指令,处理器用于按照获得的程序指令执行上述控制web系统越权访问的方法的程序。
本发明实施例提供了一种计算机存储介质,用于储存为上述计算设备所用的计算机程序指令,其包含用于执行上述控制web系统越权访问的方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
综上,上述实施例提供的一种控制web系统越权访问的方法及装置,包括:代理服务器接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。可以看出,在有代理服务器的应用场景下,若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数,则代理服务器对服务器返回的响应消息中的参数进行加密处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
上述另一实施例提供的一种控制web系统越权访问的方法及装置,包括:服务器接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;所述服务器根据所述业务创建消息,生成参数信息;所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。可以看出,在没有代理服务器的应用场景下,服务器对接收到业务创建消息后生成的参数信息进行了变形处理,从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性,因此,能够从根源上彻底杜绝web应用越权漏洞的发生。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种控制web系统越权访问的方法,其特征在于,包括:
代理服务器接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;
所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。
2.如权利要求1所述的方法,其特征在于,在将加密后的第一响应消息发送给所述客户端之后,还包括:
所述代理服务器接收所述客户端发送的第二页面访问请求消息,判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数,若是,则对所述第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给所述服务器,以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息,其中,所述第二页面访问请求消息是基于所述第一响应消息所生成的。
3.如权利要求2所述的方法,其特征在于,所述对所述第一响应消息加密处理,包括:对所述第一响应消息中的参数进行加密处理;
所述对所述第二页面访问请求消息进行解密处理,包括:对所述第二页面访问请求中的参数进行解密处理。
4.一种控制web系统越权访问的方法,其特征在于,包括:
服务器接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;
所述服务器根据所述业务创建消息,生成参数信息;
所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。
5.如权利要求4所述的方法,其特征在于,所述将所述参数信息进行变形,并将变形后的参数信息存储至所述服务器中,包括:
将所述参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至所述服务器的数据库中;或者,
将所述参数信息进行修改,并将修改后的参数信息存储至所述服务器的数据库中。
6.一种控制web系统越权访问的装置,其特征在于,包括:
第一接收模块,用于接收服务器发送的第一响应消息,所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的;
监控模块,用于判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数,若是,则对所述第一响应消息进行加密处理,并将加密后的第一响应消息发送给所述客户端。
7.如权利要求6所述的装置,其特征在于,所述第一接收模块还用于:在将加密后的第一响应消息发送给所述客户端之后,接收所述客户端发送的第二页面访问请求消息;
所述监控模块,还用于判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数,若是,则对所述第二页面访问请求消息进行解密处理,并将解密后的第二页面访问请求消息发送给所述服务器,以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息,其中,所述第二页面访问请求消息是基于所述第一响应消息所生成的。
8.如权利要求7所述的装置,其特征在于,所述监控模块,具体用于:对所述第一响应消息中的参数进行加密处理;
所述监控模块,具体用于:对所述第二页面访问请求中的参数进行解密处理。
9.一种控制web系统越权访问的装置,其特征在于,包括:
第二接收模块,接收到客户端发送的业务创建消息,所述业务创建消息用于在所述服务器中为所述客户端创建新业务;
生成模块,根据所述业务创建消息,生成参数信息;
处理模块,所述服务器对所述参数信息进行变形处理,并将变形后的参数信息存储至所述服务器中,以便接收到所述客户端发送的业务访问请求消息时,将变形后的参数信息发送给所述客户端。
10.如权利要求9所述的装置,其特征在于,所述处理模块,具体用于:
将所述参数信息进行哈希运算,并将经过哈希运算后的参数信息存储至所述服务器的数据库中;或者,
将所述参数信息进行修改,并将修改后的参数信息存储至所述服务器的数据库中。
11.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行执行权利要求1至5任一项所述的方法。
12.一种计算机存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行权利要求1至5任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110039863.XA CN112866228B (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
| CN201710900935.9A CN107508839A (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710900935.9A CN107508839A (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110039863.XA Division CN112866228B (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107508839A true CN107508839A (zh) | 2017-12-22 |
Family
ID=60700296
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110039863.XA Active CN112866228B (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
| CN201710900935.9A Pending CN107508839A (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110039863.XA Active CN112866228B (zh) | 2017-09-28 | 2017-09-28 | 一种控制web系统越权访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN112866228B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667647A (zh) * | 2018-03-30 | 2018-10-16 | 联动优势电子商务有限公司 | 一种设备参数的设置方法、设备及服务器 |
| CN109600377A (zh) * | 2018-12-13 | 2019-04-09 | 平安科技(深圳)有限公司 | 防越权方法、装置、计算机设备及存储介质 |
| CN109885790A (zh) * | 2018-12-30 | 2019-06-14 | 贝壳技术有限公司 | 获取满意度评价数据的方法和装置 |
| WO2020000723A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN111079122A (zh) * | 2019-11-01 | 2020-04-28 | 广州视源电子科技股份有限公司 | 管理员权限执行方法、装置、设备及存储介质 |
| CN114221945A (zh) * | 2021-12-15 | 2022-03-22 | 咪咕文化科技有限公司 | 通信方法、装置、计算设备及计算机可读存储介质 |
| CN115567200A (zh) * | 2022-09-20 | 2023-01-03 | 湖南快乐阳光互动娱乐传媒有限公司 | http接口防刷方法、系统及相关设备 |
| WO2023273139A1 (zh) * | 2021-06-28 | 2023-01-05 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
| CN116781425A (zh) * | 2023-08-21 | 2023-09-19 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785860B (zh) * | 2022-06-02 | 2024-06-04 | 深圳云创数安科技有限公司 | 基于加解密的数据响应方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012051452A2 (en) * | 2010-10-13 | 2012-04-19 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
| CN104113528A (zh) * | 2014-06-23 | 2014-10-22 | 汉柏科技有限公司 | 一种基于前置网关的防止敏感信息泄露的方法和系统 |
| CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
| CN105516208A (zh) * | 2016-01-28 | 2016-04-20 | 邱铭钗 | 一种有效防止网络攻击的web网站链接动态隐藏方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| JP4729683B2 (ja) * | 2004-03-26 | 2011-07-20 | 株式会社エヌ・ティ・ティ ネオメイト | データ分散格納装置、そのデータ構成管理サーバ、クライアント端末、および、データ分散格納装置を備えた業務委託システム |
| CN101621794A (zh) * | 2009-07-07 | 2010-01-06 | 董志 | 一种无线应用服务系统的安全认证实现方法 |
| CN101771699A (zh) * | 2010-01-06 | 2010-07-07 | 华南理工大学 | 一种提高SaaS应用安全性的方法及系统 |
| CN105100248A (zh) * | 2015-07-30 | 2015-11-25 | 国家电网公司 | 一种基于数据加密和访问控制的云存储安全实现方法 |
| CN106209386B (zh) * | 2016-10-10 | 2019-09-27 | 中国银行股份有限公司 | 一种实现安全认证的方法、装置和系统 |
| CN106685932B (zh) * | 2016-12-08 | 2019-11-15 | 努比亚技术有限公司 | 一种基于云服务的文件访问系统和方法 |
-
2017
- 2017-09-28 CN CN202110039863.XA patent/CN112866228B/zh active Active
- 2017-09-28 CN CN201710900935.9A patent/CN107508839A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012051452A2 (en) * | 2010-10-13 | 2012-04-19 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
| CN104113528A (zh) * | 2014-06-23 | 2014-10-22 | 汉柏科技有限公司 | 一种基于前置网关的防止敏感信息泄露的方法和系统 |
| CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
| CN105516208A (zh) * | 2016-01-28 | 2016-04-20 | 邱铭钗 | 一种有效防止网络攻击的web网站链接动态隐藏方法及装置 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667647A (zh) * | 2018-03-30 | 2018-10-16 | 联动优势电子商务有限公司 | 一种设备参数的设置方法、设备及服务器 |
| WO2020000723A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN109600377A (zh) * | 2018-12-13 | 2019-04-09 | 平安科技(深圳)有限公司 | 防越权方法、装置、计算机设备及存储介质 |
| CN109600377B (zh) * | 2018-12-13 | 2022-11-22 | 平安科技(深圳)有限公司 | 防越权方法、装置、计算机设备及存储介质 |
| CN109885790A (zh) * | 2018-12-30 | 2019-06-14 | 贝壳技术有限公司 | 获取满意度评价数据的方法和装置 |
| CN109885790B (zh) * | 2018-12-30 | 2020-12-11 | 贝壳技术有限公司 | 获取满意度评价数据的方法和装置 |
| CN111079122A (zh) * | 2019-11-01 | 2020-04-28 | 广州视源电子科技股份有限公司 | 管理员权限执行方法、装置、设备及存储介质 |
| CN111079122B (zh) * | 2019-11-01 | 2022-03-22 | 广州视源电子科技股份有限公司 | 管理员权限执行方法、装置、设备及存储介质 |
| WO2023273139A1 (zh) * | 2021-06-28 | 2023-01-05 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
| CN114221945A (zh) * | 2021-12-15 | 2022-03-22 | 咪咕文化科技有限公司 | 通信方法、装置、计算设备及计算机可读存储介质 |
| CN114221945B (zh) * | 2021-12-15 | 2024-06-04 | 咪咕文化科技有限公司 | 通信方法、装置、计算设备及计算机可读存储介质 |
| CN115567200A (zh) * | 2022-09-20 | 2023-01-03 | 湖南快乐阳光互动娱乐传媒有限公司 | http接口防刷方法、系统及相关设备 |
| CN116781425A (zh) * | 2023-08-21 | 2023-09-19 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
| CN116781425B (zh) * | 2023-08-21 | 2023-11-07 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866228A (zh) | 2021-05-28 |
| CN112866228B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866228B (zh) | 一种控制web系统越权访问的方法和装置 | |
| CA3116405C (en) | Systems and methods for distributed data storage and delivery using blockchain | |
| US11082224B2 (en) | Location aware cryptography | |
| AU2016243115B2 (en) | Key export techniques | |
| US10116645B1 (en) | Controlling use of encryption keys | |
| CN111756717B (zh) | 一种信息处理方法及装置 | |
| US10037544B2 (en) | Technologies for collecting advertising statistics in a privacy sensitive manner | |
| US10003467B1 (en) | Controlling digital certificate use | |
| CN114024710A (zh) | 一种数据传输方法、装置、系统及设备 | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| CN111130799B (zh) | 一种基于tee进行https协议传输的方法及系统 | |
| US20090083739A1 (en) | Network resource access control methods and systems using transactional artifacts | |
| EP3041188B1 (en) | Method, device and system for controlling presentation of application | |
| US20240106633A1 (en) | Account opening methods, systems, and apparatuses | |
| US20200145200A1 (en) | Attribute-based key management system | |
| Chen et al. | A secure mobile DRM system based on cloud architecture | |
| KR20180024389A (ko) | 키 관리 장치 및 방법 | |
| CN114389790A (zh) | 一种安全多方计算方法及装置 | |
| CN114979786B (zh) | 媒资资源处理方法及系统、存储介质及电子设备 | |
| CN116132185B (zh) | 数据调用方法、系统、装置、设备和介质 | |
| Singh et al. | Secure End-To-End Authentication for Mobile Banking | |
| US20240111842A1 (en) | License authentication method and apparatus, electronic device, system, and storage medium | |
| US20240250807A1 (en) | Noncustodial techniques for granular encryption and decryption | |
| JP2022533874A (ja) | 電気通信ネットワーク測定におけるデータ操作の防止およびユーザのプライバシーの保護 | |
| CN116188009A (zh) | 一种国密软加密模式秘钥获取方法、系统、终端和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |