CN108712430A - 一种发送表单请求的方法和装置 - Google Patents
一种发送表单请求的方法和装置 Download PDFInfo
- Publication number
- CN108712430A CN108712430A CN201810509555.7A CN201810509555A CN108712430A CN 108712430 A CN108712430 A CN 108712430A CN 201810509555 A CN201810509555 A CN 201810509555A CN 108712430 A CN108712430 A CN 108712430A
- Authority
- CN
- China
- Prior art keywords
- request
- target
- target list
- list
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种发送表单请求的方法和装置,属于数据传输技术领域。所述方法包括:当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。采用本发明,可以提高表单提交的安全性。
Description
技术领域
本发明涉及数据传输技术领域,特别涉及一种发送表单请求的方法和装置。
背景技术
随着互联网和计算机技术的迅速发展,人们的生活节奏越来越快,电子商务成为了人们的商品交易的趋势,网络交易越来越流行。用户可以通过访问电商网站、选择商品、提交订单、支付价款等一系列的操作实现网络交易。
网络交易中的提交订单的处理实质是发送表单的过程,用户可以通过终端从电商网站处请求订单页面,电商网站的服务端可以向终端反馈相应的订单页面(该订单页面可以称为回响页面),该订单页面中可以包含一个或多个表单,终端在接收并显示订单页面后,用户可以在其中输入相应的订单信息,如商品购买数目、商品样式等等,然后终端则可以将订单信息填写到相应的表单中,再将表单发送至电商网站的服务端。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
由于电商网站的服务端或多或少会存在系统缺陷、逻辑错误等漏洞,而这些漏洞往往会被不法分子利用来进行恶意交易,即从电商网站的服务端获取到订单页面后,不法分子恶意篡改其中表单的参数,如修改商品金额,这样,网络交易的安全性较差。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种发送表单请求的方法和装置。所述技术方案如下:
第一方面,提供了一种发送表单请求的方法,所述方法包括:
当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;
在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;
接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;
如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。
可选的,所述接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证,包括:
接收终端发送的所述目标回响页面对应的目标表单请求,获取所述目标表单请求的请求信息,其中,所述请求信息至少包含目标表单请求对应的URL、所述预设只读参数的参数格式和所述签名信息;
根据所述请求信息和本地存储的表单请求学习表,判断所述目标表单请求是否为待防护表单请求;
如果是,则对所述目标表单请求包含的表单中的签名信息进行验证。
可选的,所述表单请求学习表中记录有经大数据处理和机器学习得到的、所有需要进行防护的表单请求的请求信息。
可选的,所述方法还包括:
当接收到服务端反馈的目标回响页面时,如果所述表单请求学习表中不存在所述目标回响页面对应的目标表单请求的请求信息,则在所述表单请求学习表中插入所述请求信息,并记录所述目标表单请求处于学习阶段。
可选的,所述在所述请求学习表中插入所述请求信息之后,还包括:
如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将所述目标表单请求确定为待防护表单请求。
可选的,所述对所述目标表单请求包含的表单中的签名信息进行验证,包括:
判断能否基于预设解密算法对所述目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与所述预设只读参数一致,以及所述目标表单请求的请求信息是否与所述表单请求学习表中记录的所述目标表单请求的请求信息一致。
可选的,所述方法还包括:
如果所述目标表单请求是待防护表单请求,且所述目标表单请求中未携带有签名信息,则确定所述目标表单请求的发送终端;
判断所述发送终端对应的表单请求的未签名次数;
如果所述未签名次数大于预设阈值,则对所述目标表单请求进行防护处理,否则将所述未签名次数加一。
第二方面,提供了一种发送表单请求的装置,所述装置包括:
生成模块,用于当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;
发送模块,用于在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;
验证模块,用于接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;
防护模块,用于如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。
可选的,所述验证模块,具体用于:
接收终端发送的所述目标回响页面对应的目标表单请求,获取所述目标表单请求的请求信息,其中,所述请求信息至少包含目标表单请求对应的URL、所述预设只读参数的参数格式和所述签名信息;
根据所述请求信息和本地存储的表单请求学习表,判断所述目标表单请求是否为待防护表单请求;
如果是,则对所述目标表单请求包含的表单中的签名信息进行验证。
可选的,所述表单请求学习表中记录有经大数据处理和机器学习得到的、所有需要进行防护的表单请求的请求信息。
可选的,所述装置还包括:
学习模块,用于当接收到服务端反馈的目标回响页面时,如果所述表单请求学习表中不存在所述目标回响页面对应的目标表单请求的请求信息,则在所述表单请求学习表中插入所述请求信息,并记录所述目标表单请求处于学习阶段。
可选的,所述学习模块,还用于:
如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将所述目标表单请求确定为待防护表单请求。
可选的,所述验证模块,具体用于:
判断能否基于预设解密算法对所述目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与所述预设只读参数一致,以及所述目标表单请求的请求信息是否与所述表单请求学习表中记录的所述目标表单请求的请求信息一致。
可选的,所述验证模块,还用于:
如果所述目标表单请求是待防护表单请求,且所述目标表单请求中未携带有签名信息,则确定所述目标表单请求的发送终端;
判断所述发送终端对应的表单请求的未签名次数;
如果所述未签名次数大于预设阈值,则对所述目标表单请求进行防护处理,否则将所述未签名次数加一。
第三方面,提供了一种WAF设备,所述WAF设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的发送表单请求的方法。
第四方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的发送表单请求的方法。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,当接收到服务端反馈的目标回响页面时,根据目标回响页面中的表单的预设只读参数生成签名信息,在目标回响页面的表单中添加签名信息,并将目标回响页面发送给终端,接收终端发送的目标回响页面对应的目标表单请求,对目标表单请求包含的表单中的签名信息进行验证,如果验证成功,则将目标表单请求发送至服务端,否则对目标表单请求进行防护处理。这样,预先在表单中加入签名信息,当接收到表单请求时,通过签名信息来验证表单是否被恶意篡改,从而可以及时发现异常表单请求,并对其进行防护处理,提高了表单提交的安全性。另外,针对不同的表单请求进行大数据学习,根据学习结果对表单请求加入签名及防护,能及时发现恶意数据包并实施相应的防护措施。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种发送表单请求的场景框架示意图;
图2是本发明实施例提供的一种发送表单请求的方法流程图;
图3是本发明实施例提供的一种验证签名信息的流程示意图
图4是本发明实施例提供的一种发送表单请求的装置结构示意图;
图5是本发明实施例提供的一种发送表单请求的装置结构示意图;
图6是本发明实施例提供的一种WAF设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供了一种发送表单请求的方法,该方法的执行主体可以是WAF(Web Application Firewall,Web应用防火墙)设备,其中,WAF设备可以部署在服务端和终端之间的网络传输路径中,终端上可以安装有Web应用程序的客户端,服务端则可以是Web应用程序的后台服务端,WAF设备可以理解为Web应用防火墙,用于对终端发往服务端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断。WAF可以是多台WAF设备组成的系统,每台WAF设备可以是物理实体设备,也可以是依托于物理实体设备创建的虚拟设备。具体网络框架可以参考图1。WAF设备可以包括处理器、存储器、收发器,处理器可以用于进行下述流程中的发送表单请求的处理,存储器可以用于存储下述处理过程中需要的数据以及产生的数据,收发器可以用于接收和发送下述处理过程中的相关数据。为了便于理解,本实施例中以Web应用程序为网购类应用程序为例进行说明,其它Web应用程序的情况与之相似,必要处将会进行特别说明。
下面将结合具体实施方式,对图2所示的处理流程进行详细的说明,内容可以如下:
步骤201,当接收到服务端反馈的目标回响页面时,根据目标回响页面中的表单的预设只读参数生成签名信息。
其中,回响页面可以是终端向服务端发送页面获取请求后,服务端针对该页面获取请求向终端反馈的页面。预设只读参数可以是WAF设备侧的技术人员在表单中预先选定的不可编辑的参数。
在实施中,用户可以在终端上安装网购类应用程序的客户端,然后可以通过该客户端访问网购类应用程序的服务端,从服务端处请求其所提供的Web页面,如可以请求商品列表页面、商品详情页面、购买页面等。具体的,用户在终端上点击某一按键后,可以触发终端向服务端发送页面获取请求,服务端在接收到页面获取请求后,可以向终端反馈相应的页面(即目标回响页面)。这样,在接收到服务端反馈给终端的目标回响页面之后,WAF设备可以匹配出目标回响页面中表单的内容,提取表单的预设只读参数,从而可以根据提取出的预设只读参数生成签名信息。例如,回响页面中包含了下述表单:
WAF设备则可以提取其中的预设只读参数(name1、value1、name2、value2、name3、value3),然后可以采用相关算法对预设只读参数进行签名处理,从而生成签名信息:<input type="hidden"name="flag"value="encode Value"/>。
步骤202,在目标回响页面的表单中添加签名信息,并将目标回响页面发送给终端。
在实施中,WAF设备在根据表单的预设只读参数生成了签名信息之后,可以将签名信息添加到表单中,然后可以将包含添加有签名信息的表单的目标回响页面发送给终端。值得一提的是,如果回响页面中包含有多个表单,则可以针对每个表单,生成对应的签名信息,并将签名信息添加到相应的表单中,这样,回响页面中的每个表单都添加有签名信息。
步骤203,接收终端发送的目标回响页面对应的目标表单请求,对目标表单请求包含的表单中的签名信息进行验证。
在实施中,终端在接收到WAF设备发送的目标回响页面后,可以对目标回响页面进行显示。用户在目标回响页面中的输入框进行输入后,终端可以将用户输入的数据填写到目标回响页面对应的表单中。用户输入完毕并点击确认按键后,终端可以向WAF设备发送目标回响页面对应的目标表单请求。这样,WAF设备接收到目标表单请求后,可以提取目标表单请求包含的表单中的签名信息,然后对签名信息进行验证。可以理解,此处的签名信息即步骤202中添加在表单中的签名信息,终端仅在表单中填写了用户输入的数据,未对表单中的签名信息进行改动,故而,目标表单请求包含的表单中存在签名信息。
可选的,WAF设备可以仅对指定的表单请求进行防护,相应的,步骤203的处理可以如下:接收终端发送的目标回响页面对应的目标表单请求,获取目标表单请求的请求信息,根据请求信息和本地存储的表单请求学习表,判断目标表单请求是否为待防护表单请求,如果是,则对目标表单请求包含的表单中的签名信息进行验证。
其中,请求信息至少包含目标表单请求对应的URL(Uniform Resource Locator,统一资源定位器)、预设只读参数的参数格式和签名信息。
在实施中,WAF设备处可以预先存储有表单请求学习表,该表单请求学习表中记录了经大数据处理和机器学习后得到的、所有需要进行防护的表单请求的请求信息。这样,WAF设备在接收到终端发送的目标回响页面对应的目标表单请求之后,可以先获取目标表单请求对应的URL、预设只读参数的参数格式(包括整型、枚举、字符等)和签名信息等请求信息,再在本地存储的表单请求学习表中查找是否存在相同的请求信息项,从而判断目标表单请求是否为待防护表单请求。如果是,则可以对目标表单请求包含的表单中的签名信息进行验证。如果不是,则可以直接将目标表单请求发送至服务端。值得一提的是,表单请求学习表中除了记录有需要进行防护的表单请求的表单信息,还可以记录有不需要进行防护的表单请求的表单信息,以及正处于学习阶段的表单请求的表单信息,并且针对每项表单信息均进行了相应的标注,从而在表单请求学习表中查找到某一表单请求的请求信息项时,可以根据其对应的标注来判断当前表单请求是否为待防护表单请求。此处,对于所有待防护表单请求,需要将其对应的页面设置为强制不缓存,以避免终端缓存相关页面后,影响后续对签名信息的验证处理。
可选的,可以在首次接收到某一回响页面时,将其对应的表单请求加入表单请求学习表中,相应的处理可以如下:当接收到服务端反馈的目标回响页面时,如果表单请求学习表中不存在目标回响页面对应的目标表单请求的请求信息,则在表单请求学习表中插入请求信息,并记录目标表单请求处于学习阶段。
在实施中,WAF设备在接收到服务端向终端反馈的目标回响页面时,可以先确定目标回响页面对应的目标表单请求,然后获取目标表单请求的请求信息。之后,WAF设备可以调取本地存储的表单请求学习表,并在表单请求学习表中查找是否存在目标表单请求的请求信息。如果不存在,WAF设备则可以在表单请求学习表中插入上述目标表单请求的请求信息,同时记录目标表单请求处于学习阶段。而如果存在,WAF设备则可以直接向终端转发目标回响页面,以等待终端发送目标表单请求,并进行后续处理。
可选的,如果若干个终端发送的某个表单请求都携带有签名信息,则表示需要对该表单请求进行防护,相应的处理可以如下:如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将目标表单请求确定为待防护表单请求。
在实施中,WAF设备在表单请求学习表中添加了目标表单请求的请求信息后,可以记录发送携带有签名信息的目标表单请求的终端数目。如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则可以认为目标表单请求需要进行防护处理,进而WAF设备可以将目标表单请求确定为待防护表单请求。需要说明的是,当接收到携带有签名信息的表单请求时,如果表单请求学习表中不存在该表单请求的请求信息,WAF设备可以在表单请求学习表中插入该表单请求的请求信息,并将上述接收表单请求的数目记录为1。
可选的,基于上述表单请求学习表中记录表单请求的请求信息的处理,步骤203中对签名信息的验证处理可以具体如下:判断能否基于预设解密算法对目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与预设只读参数一致,以及目标表单请求的请求信息是否与表单请求学习表中记录的目标表单请求的请求信息一致。
在实施中,WAF设备在接收到终端发送的目标回响页面对应的目标表单请求后,可以提取目标表单请求包含的表单中的签名信息。之后,WAF设备可以调用预设解密算法对签名信息进行解密处理,如果无法正常解密,则可以认为签名信息被修改过,目标表单请求很有可能是恶意请求,故而可以对目标表单请求进行防护处理;而如果可以正常解密,则可以进一步判断解密得到的参数信息是否与对应的表单的预设只读参数一致,如果不一致,则可以认为签名信息被修改过,目标表单请求很有可能是恶意请求,从而可以对目标表单请求进行防护处理;而如果一致,则可以提取目标表单请求的请求信息,并判断目标表单请求的请求信息是否与表单请求学习表中记录的目标表单请求的请求信息一致,如果不一致,则说明目标表单请求为异常表单请求,需要进行防护处理;而如果一致,则可以将目标表单请求中的签名信息删除,再将目标表单请求提交给服务端。值得一提的是,如果WAF设备接收到了目标表单请求后,判定目标表单请求属于待防护表单请求,而目标表单请求中未携带有签名信息,则可以先确定目标表单请求的发送终端,再判断该发送终端对应的未携带签名信息的表单请求的发送次数(可称为未签名次数),如果未签名次数大于预设阈值,则可以直接对目标表单请求进行防护处理,如果未签名次数小于或等于预设阈值,则可以将未签名次数加一。上述具体验证流程可以参考图3。
步骤204,如果验证成功,则将目标表单请求发送至服务端,否则对目标表单请求进行防护处理。
在实施中,WAF设备如果对目标表单请求包含的表单中的签名信息验证成功,则可以认为目标表单请求为正常的表单请求,则可以将目标表单请求中的签名信息删除,再将目标表单请求发送至服务端,而如果对目标表单请求包含的表单中的签名信息验证失败,则可以认为目标表单请求包含的表单的参数受到了恶意修改,接收到的目标表单请求可能是恶意请求,WAF设备则可以对目标表单请求进行防护处理。值得一提的是,具体的防护处理可以由WAF设备侧的技术人员人工设定,如可以是对目标表单请求进一步的进行人工审核,也可以是拦截目标表单请求,还可以是请求终端重传目标表单请求。
本发明实施例中,当接收到服务端反馈的目标回响页面时,根据目标回响页面中的表单的预设只读参数生成签名信息,在目标回响页面的表单中添加签名信息,并将目标回响页面发送给终端,接收终端发送的目标回响页面对应的目标表单请求,对目标表单请求包含的表单中的签名信息进行验证,如果验证成功,则将目标表单请求发送至服务端,否则对目标表单请求进行防护处理。这样,预先在表单中加入签名信息,当接收到表单请求时,通过签名信息来验证表单是否被恶意篡改,从而可以及时发现异常表单请求,并对其进行防护处理,提高了表单提交的安全性。另外,针对不同的表单请求进行大数据学习,根据学习结果对表单请求加入签名及防护,能及时发现恶意数据包并实施相应的防护措施。
基于相同的技术构思,本发明实施例还提供了一种发送表单请求的装置,如图4所示,所述装置包括
生成模块401,用于当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;
发送模块402,用于在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;
验证模块403,用于接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;
防护模块404,用于如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。
可选的,所述验证模块403,具体用于:
接收终端发送的所述目标回响页面对应的目标表单请求,获取所述目标表单请求的请求信息,其中,所述请求信息至少包含目标表单请求对应的URL、所述预设只读参数的参数格式和所述签名信息;
根据所述请求信息和本地存储的表单请求学习表,判断所述目标表单请求是否为待防护表单请求;
如果是,则对所述目标表单请求包含的表单中的签名信息进行验证。
可选的,所述表单请求学习表中记录有经大数据处理和机器学习得到的、所有需要进行防护的表单请求的请求信息。
可选的,如图5所示,所述装置还包括:
学习模块405,用于当接收到服务端反馈的目标回响页面时,如果所述表单请求学习表中不存在所述目标回响页面对应的目标表单请求的请求信息,则在所述表单请求学习表中插入所述请求信息,并记录所述目标表单请求处于学习阶段。
可选的,所述学习模块405,还用于:
如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将所述目标表单请求确定为待防护表单请求。
可选的,所述验证模块403,具体用于:
判断能否基于预设解密算法对所述目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与所述预设只读参数一致,以及所述目标表单请求的请求信息是否与所述表单请求学习表中记录的所述目标表单请求的请求信息一致。
可选的,所述验证模块403,还用于:
如果所述目标表单请求是待防护表单请求,且所述目标表单请求中未携带有签名信息,则确定所述目标表单请求的发送终端;
判断所述发送终端对应的表单请求的未签名次数;
如果所述未签名次数大于预设阈值,则对所述目标表单请求进行防护处理,否则将所述未签名次数加一。
本发明实施例中,当接收到服务端反馈的目标回响页面时,根据目标回响页面中的表单的预设只读参数生成签名信息,在目标回响页面的表单中添加签名信息,并将目标回响页面发送给终端,接收终端发送的目标回响页面对应的目标表单请求,对目标表单请求包含的表单中的签名信息进行验证,如果验证成功,则将目标表单请求发送至服务端,否则对目标表单请求进行防护处理。这样,预先在表单中加入签名信息,当接收到表单请求时,通过签名信息来验证表单是否被恶意篡改,从而可以及时发现异常表单请求,并对其进行防护处理,提高了表单提交的安全性。另外,针对不同的表单请求进行大数据学习,根据学习结果对表单请求加入签名及防护,能及时发现恶意数据包并实施相应的防护措施。
需要说明的是:上述实施例提供的发送表单请求的装置在发送表单请求时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的发送表单请求的装置与发送表单请求的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图6是本发明实施例提供的WAF设备的结构示意图。该WAF设备600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器622(例如,一个或一个以上处理器)和存储器632,一个或一个以上存储应用程序662或数据666的存储介质630(例如一个或一个以上海量存储设备)。其中,存储器632和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对WAF设备中的一系列指令操作。更进一步地,中央处理器622可以设置为与存储介质630通信,在WAF设备600上执行存储介质630中的一系列指令操作。
WAF设备600还可以包括一个或一个以上电源626,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口658,一个或一个以上键盘656,和/或,一个或一个以上操作系统661,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
WAF设备600可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行上述发送表单请求的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种发送表单请求的方法,其特征在于,所述方法包括:
当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;
在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;
接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;
如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。
2.根据权利要求1所述的方法,其特征在于,所述接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证,包括:
接收终端发送的所述目标回响页面对应的目标表单请求,获取所述目标表单请求的请求信息,其中,所述请求信息至少包含目标表单请求对应的URL、所述预设只读参数的参数格式和所述签名信息;
根据所述请求信息和本地存储的表单请求学习表,判断所述目标表单请求是否为待防护表单请求;
如果是,则对所述目标表单请求包含的表单中的签名信息进行验证。
3.根据权利要求2所述的方法,其特征在于,所述表单请求学习表中记录有经大数据处理和机器学习得到的、所有需要进行防护的表单请求的请求信息。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当接收到服务端反馈的目标回响页面时,如果所述表单请求学习表中不存在所述目标回响页面对应的目标表单请求的请求信息,则在所述表单请求学习表中插入所述请求信息,并记录所述目标表单请求处于学习阶段。
5.根据权利要求4所述的方法,其特征在于,所述在所述请求学习表中插入所述请求信息之后,还包括:
如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将所述目标表单请求确定为待防护表单请求。
6.根据权利要求2所述的方法,其特征在于,所述对所述目标表单请求包含的表单中的签名信息进行验证,包括:
判断能否基于预设解密算法对所述目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与所述预设只读参数一致,以及所述目标表单请求的请求信息是否与所述表单请求学习表中记录的所述目标表单请求的请求信息一致。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述目标表单请求是待防护表单请求,且所述目标表单请求中未携带有签名信息,则确定所述目标表单请求的发送终端;
判断所述发送终端对应的表单请求的未签名次数;
如果所述未签名次数大于预设阈值,则对所述目标表单请求进行防护处理,否则将所述未签名次数加一。
8.一种发送表单请求的装置,其特征在于,所述装置包括:
生成模块,用于当接收到服务端反馈的目标回响页面时,根据所述目标回响页面中的表单的预设只读参数生成签名信息;
发送模块,用于在所述目标回响页面的表单中添加所述签名信息,并将所述目标回响页面发送给终端;
验证模块,用于接收所述终端发送的所述目标回响页面对应的目标表单请求,对所述目标表单请求包含的表单中的签名信息进行验证;
防护模块,用于如果验证成功,则将所述目标表单请求发送至所述服务端,否则对所述目标表单请求进行防护处理。
9.根据权利要求8所述的装置,其特征在于,所述验证模块,具体用于:
接收终端发送的所述目标回响页面对应的目标表单请求,获取所述目标表单请求的请求信息,其中,所述请求信息至少包含目标表单请求对应的URL、所述预设只读参数的参数格式和所述签名信息;
根据所述请求信息和本地存储的表单请求学习表,判断所述目标表单请求是否为待防护表单请求;
如果是,则对所述目标表单请求包含的表单中的签名信息进行验证。
10.根据权利要求9所述的装置,其特征在于,所述表单请求学习表中记录有经大数据处理和机器学习得到的、所有需要进行防护的表单请求的请求信息。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括:
学习模块,用于当接收到服务端反馈的目标回响页面时,如果所述表单请求学习表中不存在所述目标回响页面对应的目标表单请求的请求信息,则在所述表单请求学习表中插入所述请求信息,并记录所述目标表单请求处于学习阶段。
12.根据权利要求11所述的装置,其特征在于,所述学习模块,还用于:
如果在预设时长内接收到至少预设数目个不同终端发送的携带有签名信息的目标表单请求,则将所述目标表单请求确定为待防护表单请求。
13.根据权利要求9所述的装置,其特征在于,所述验证模块,具体用于:
判断能否基于预设解密算法对所述目标表单请求包含的表单中的签名信息进行解密,且解密得到的参数信息是否与所述预设只读参数一致,以及所述目标表单请求的请求信息是否与所述表单请求学习表中记录的所述目标表单请求的请求信息一致。
14.根据权利要求9所述的装置,其特征在于,所述验证模块,还用于:
如果所述目标表单请求是待防护表单请求,且所述目标表单请求中未携带有签名信息,则确定所述目标表单请求的发送终端;
判断所述发送终端对应的表单请求的未签名次数;
如果所述未签名次数大于预设阈值,则对所述目标表单请求进行防护处理,否则将所述未签名次数加一。
15.一种WAF设备,其特征在于,所述WAF设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至7任一所述的发送表单请求的方法。
16.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至7任一所述的发送表单请求的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810509555.7A CN108712430A (zh) | 2018-05-24 | 2018-05-24 | 一种发送表单请求的方法和装置 |
| EP18920134.6A EP3684026B1 (en) | 2018-05-24 | 2018-06-15 | Method and apparatus for sending form request |
| PCT/CN2018/091580 WO2019223049A1 (zh) | 2018-05-24 | 2018-06-15 | 一种发送表单请求的方法和装置 |
| US16/858,059 US20200252222A1 (en) | 2018-05-24 | 2020-04-24 | Method and device for transmitting form request |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810509555.7A CN108712430A (zh) | 2018-05-24 | 2018-05-24 | 一种发送表单请求的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108712430A true CN108712430A (zh) | 2018-10-26 |
Family
ID=63869558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810509555.7A Pending CN108712430A (zh) | 2018-05-24 | 2018-05-24 | 一种发送表单请求的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200252222A1 (zh) |
| EP (1) | EP3684026B1 (zh) |
| CN (1) | CN108712430A (zh) |
| WO (1) | WO2019223049A1 (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070234192A1 (en) * | 2001-03-01 | 2007-10-04 | Rising Hawley K Iii | Encoding and distribution of schema for multimedia content descriptions |
| US20080005356A1 (en) * | 2006-05-23 | 2008-01-03 | Seapass Solutions Inc. | Apparatus and method for connecting incompatible computer systems |
| CN101102187A (zh) * | 2007-08-09 | 2008-01-09 | 上海格尔软件股份有限公司 | 一种实现自动签名/验证签名功能的方法 |
| CN101685514A (zh) * | 2008-09-23 | 2010-03-31 | 阿里巴巴集团控股有限公司 | 防止表单只读数据被篡改的方法和系统 |
| CN103117897A (zh) * | 2013-01-25 | 2013-05-22 | 北京星网锐捷网络技术有限公司 | 一种检测包含Cookie信息的消息的方法及相关装置 |
| CN104346564A (zh) * | 2013-08-02 | 2015-02-11 | 中国银联股份有限公司 | 一种基于Web的安全的用户交互方法 |
| CN104753901A (zh) * | 2013-12-31 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于智能表单分析的web防火墙实现方法 |
| CN105847013A (zh) * | 2016-05-30 | 2016-08-10 | 上海欧冶金融信息服务股份有限公司 | 数字签名的安全验证方法 |
| CN106209748A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 互联网接口的防护方法及装置 |
| CN107566200A (zh) * | 2016-06-30 | 2018-01-09 | 阿里巴巴集团控股有限公司 | 一种监控方法、装置及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030051142A1 (en) * | 2001-05-16 | 2003-03-13 | Hidalgo Lluis Mora | Firewalls for providing security in HTTP networks and applications |
| US20060288220A1 (en) * | 2005-05-02 | 2006-12-21 | Whitehat Security, Inc. | In-line website securing system with HTML processor and link verification |
| CN108023860B (zh) * | 2016-11-03 | 2021-01-26 | 中国电信股份有限公司 | Web应用的防护方法、系统以及Web应用防火墙 |
| CN107577550B (zh) * | 2017-08-31 | 2021-02-09 | 奇安信科技集团股份有限公司 | 一种确定访问请求的响应是否异常的方法及装置 |
| CN107590397A (zh) * | 2017-09-19 | 2018-01-16 | 广州酷狗计算机科技有限公司 | 一种显示内嵌网页的方法和装置 |
-
2018
- 2018-05-24 CN CN201810509555.7A patent/CN108712430A/zh active Pending
- 2018-06-15 WO PCT/CN2018/091580 patent/WO2019223049A1/zh unknown
- 2018-06-15 EP EP18920134.6A patent/EP3684026B1/en active Active
-
2020
- 2020-04-24 US US16/858,059 patent/US20200252222A1/en not_active Abandoned
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070234192A1 (en) * | 2001-03-01 | 2007-10-04 | Rising Hawley K Iii | Encoding and distribution of schema for multimedia content descriptions |
| US20080005356A1 (en) * | 2006-05-23 | 2008-01-03 | Seapass Solutions Inc. | Apparatus and method for connecting incompatible computer systems |
| CN101102187A (zh) * | 2007-08-09 | 2008-01-09 | 上海格尔软件股份有限公司 | 一种实现自动签名/验证签名功能的方法 |
| CN101685514A (zh) * | 2008-09-23 | 2010-03-31 | 阿里巴巴集团控股有限公司 | 防止表单只读数据被篡改的方法和系统 |
| CN103117897A (zh) * | 2013-01-25 | 2013-05-22 | 北京星网锐捷网络技术有限公司 | 一种检测包含Cookie信息的消息的方法及相关装置 |
| CN104346564A (zh) * | 2013-08-02 | 2015-02-11 | 中国银联股份有限公司 | 一种基于Web的安全的用户交互方法 |
| CN104753901A (zh) * | 2013-12-31 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于智能表单分析的web防火墙实现方法 |
| CN106209748A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 互联网接口的防护方法及装置 |
| CN105847013A (zh) * | 2016-05-30 | 2016-08-10 | 上海欧冶金融信息服务股份有限公司 | 数字签名的安全验证方法 |
| CN107566200A (zh) * | 2016-06-30 | 2018-01-09 | 阿里巴巴集团控股有限公司 | 一种监控方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李莉等: "《一种基于Web应用防火墙的主动安全加固方案》", 《计算机工程与应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3684026B1 (en) | 2021-09-01 |
| EP3684026A1 (en) | 2020-07-22 |
| WO2019223049A1 (zh) | 2019-11-28 |
| EP3684026A4 (en) | 2020-09-16 |
| US20200252222A1 (en) | 2020-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10956901B2 (en) | Methods, apparatus and computer program products for securely accessing account data | |
| US20180315050A1 (en) | Secure communication of payment information to merchants using a verification token | |
| US9032085B1 (en) | Identifying use of software applications | |
| US8827154B2 (en) | Verification of portable consumer devices | |
| US10498735B2 (en) | Visualization of access information | |
| CN104767613B (zh) | 签名验证方法、装置及系统 | |
| US8051465B1 (en) | Mitigating forgery of electronic submissions | |
| US20070244761A1 (en) | Information protection system | |
| CN107016074A (zh) | 一种网页加载方法及装置 | |
| EP1486851A1 (en) | Authentication system, authentication server, authentication method, authentication program, terminal, authentication request method, authentication request program, and storage medium | |
| CN105099983B (zh) | 授权方法、权限设置方法及装置 | |
| AU2010292125B2 (en) | Secure communication of payment information to merchants using a verification token | |
| CN107342966B (zh) | 权限凭证发放方法和装置 | |
| EP3623980B1 (en) | Ransomware encryption algorithm determination | |
| CN107317807A (zh) | 一种设备绑定方法、装置及系统 | |
| EP3777070B1 (en) | Deep link authentication | |
| EP3623982B1 (en) | Ransomware remediation | |
| US20200084236A1 (en) | Index based ransomware categorization | |
| US20050228782A1 (en) | Authenticating a web site with user-provided indicators | |
| Taylor et al. | A comprehensive forensic preservation methodology for crypto wallets | |
| CN108712430A (zh) | 一种发送表单请求的方法和装置 | |
| CN107729345A (zh) | 网站数据处理方法、装置、网站数据处理平台及存储介质 | |
| CN105718314A (zh) | 事件执行方法和装置及系统 | |
| CN113761489B (zh) | 验证方法、装置及设备、存储介质 | |
| US20150269550A1 (en) | Apparatus for Improving Security for User Input and/or Access to Secure Resources and/or for Point of Sale |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181026 |