CN109474569A - 一种检测web缓存欺骗的方法及系统 - Google Patents
一种检测web缓存欺骗的方法及系统 Download PDFInfo
- Publication number
- CN109474569A CN109474569A CN201711469902.XA CN201711469902A CN109474569A CN 109474569 A CN109474569 A CN 109474569A CN 201711469902 A CN201711469902 A CN 201711469902A CN 109474569 A CN109474569 A CN 109474569A
- Authority
- CN
- China
- Prior art keywords
- user
- caching
- http
- request
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种检测web缓存欺骗的方法及系统,其中,所述方法包括:获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;若HTTP头的content‑type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。本发明实现了在缓存服务器上检测并防御web缓存欺骗攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种检测web缓存欺骗的方法及系统。
背景技术
web缓存欺骗是一种新型的攻击方法,攻击者可以通过这种攻击方法获取用户的敏感信息,攻击者在正常的URL后加上一个服务器上不存在的静态文件如:http://www.xxxx.com/index.php/test.png,并诱使正常用户访问,缓存服务器没缓存过这个文件就会向web服务器发起请求,web服务器返回http://www.xxxx.com/index.php的受害者账户页面,缓存服务器将建立index.php目录并将web服务器返回的页面缓存为test.png静态文件,当攻击者访问http://www.xxxx.com/index.php/test.png,缓存服务器将缓存的页面发送给攻击者,将导致用户信息泄露。
目前对缓存欺骗攻击的缓解措施是通过配置缓存策略或者web服务器策略来实现对web缓存欺骗攻击的防御。缓存策略包括:只有在HTTP头部允许缓存时才缓存这些文件;或者根据文件的内容缓存这些文件。web服务器策略包括:将静态文件放在一个目录,只缓存该目录;在处理上述恶意地址,不返回页面内容。首先如果使用HTTP头部中允许缓存时才进行缓存的策略不仅要配置缓存策略,还需要在Web服务器或web应用代码中对HTTP头部的Cache-Control进行相关配置。根据文件内容缓存,则并非所有缓存组件都支持。将静态文件只缓存特定目录则对web应用的目录结构过于限制,不利于web应用的开发维护。处理恶意地址则需要在web服务器上或者web应用中对相应URL进行识别匹配。
综上所述,目前对web缓存欺骗的防御技术中策略配置复杂,无法对web缓存欺骗攻击进行有效检测,有的方法是需要在web应用的代码中实现,不具有普遍性。
发明内容
针对上述技术问题,本发明通过匹配缓存服务器上缓存文件的类型和内容特征,进而识别判定是否为web缓存欺骗攻击,无需配置缓存策略和web服务器策略,实现了在缓存服务器上检测并防御web缓存欺骗攻击。
本发明采用如下方法来实现:一种检测web缓存欺骗的方法,包括:
获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
进一步地,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
其中,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
本发明可以采用如下系统来实现:一种检测web缓存欺骗的系统,包括:
静态文件判定模块,用于获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
响应报文获取模块,用于若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
缓存欺骗攻击判定模块,用于若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
进一步地,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
其中,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种检测web缓存欺骗的方法。
综上,本发明给出一种检测web缓存欺骗的方法及系统,部署于缓存服务器上,首先判断用户请求的是否为静态文件,若是则继续获取web服务器返回的信息,筛选web服务器响应状态码为200的HTTP报文,并判断HTTP头的content-type类型是否为text或者html,或者文件内容中包含了html标签,若是则判定存在疑似缓存欺骗攻击。本发明不需要配置缓存策略和web服务器策略,因此实现简单,并且对web服务器策略和web应用代码没有任何要求和限制。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种检测web缓存欺骗的方法实施例1流程图;
图2为本发明提供的一种检测web缓存欺骗的方法实施例2流程图;
图3为本发明提供的一种检测web缓存欺骗的系统实施例结构图。
具体实施方式
本发明给出了一种检测web缓存欺骗的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种检测web缓存欺骗的方法实施例1,如图1所示,包括:
S101:获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
S102:若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
S103:若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
优选地,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
其中,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
本发明同时提供了一种检测web缓存欺骗的方法实施例2,如图2所示,包括:
S201:获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件,若是则执行S202,否则结束。其中,所述静态文件包括但不限于:图片文件、文档、css、js、png等。
S202:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息,若是则执行S203,否则结束。例如:HTTP报文的请求头中包含sessionid、cookie或POST数据等隐私信息。其中,即使不判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息,也可以识别web缓存欺骗;如果用户访问的HTTP报文中包含用户隐私相关的请求信息,则说明用户访问的web缓存欺骗的恶意地址可能导致用户的敏感信息泄露。
S203:判断web服务器的响应状态码是否为200,若是则执行S204,否则结束。
S204:获取web服务器响应状态码为200的HTTP报文。
S205:判断HTTP头的content-type类型是否为text或html,若是则判定存在疑似缓存欺骗攻击并继续执行S207,否则执行S206;
S206:判断文件内容中是否包含了html标签,若是则判定存在疑似缓存欺骗攻击并继续执行S207,否则结束。
S207:向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
本发明其次提供了一种检测web缓存欺骗的系统实施例,如图3所示,包括:
静态文件判定模块301,用于获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
响应报文获取模块302,用于若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
缓存欺骗攻击判定模块303,用于若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
优选地,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
其中,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
本发明同时公开了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种检测web缓存欺骗的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种检测web缓存欺骗的方法及系统实施例,部署于缓存服务器上,首先判定用户请求的是否为静态文件,若是静态文件则进一步获取web服务器响应状态码为200的HTTP报文,若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则可以判定存在疑似缓存欺骗攻击。上述实施例通过匹配缓存服务器上缓存文件的类型内容特征来识别web缓存欺骗攻击,无需配置缓存策略和服务器策略,解决了配置策略复杂和无法对web缓存欺骗进行有效检测的问题;由于此方案仅部署在缓存服务器上,对web应用没有任何限制。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种检测web缓存欺骗的方法,其特征在于,部署于缓存服务器上,包括:
获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
2.如权利要求1所述的方法,其特征在于,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
3.如权利要求1或2所述的方法,其特征在于,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
4.一种检测web缓存欺骗的系统,其特征在于,部署于缓存服务器上,包括:
静态文件判定模块,用于获取用户访问的HTTP报文,解析并判断用户请求的是否为静态文件;
响应报文获取模块,用于若用户请求的是静态文件,则获取web服务器响应状态码为200的HTTP报文;
缓存欺骗攻击判定模块,用于若HTTP头的content-type类型为text或html,或者文件内容中包含了html标签,则判定存在疑似缓存欺骗攻击。
5.如权利要求4所述的系统,其特征在于,在获取web服务器响应状态码为200的HTTP报文之前,还包括:判断用户访问的HTTP报文中是否包含与用户隐私相关的请求信息。
6.如权利要求4或5所述的系统,其特征在于,若判定存在疑似缓存欺骗攻击,则向请求的用户返回告警页面并删除缓存服务器上已经缓存的内容。
7.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-3中任一所述的一种检测web缓存欺骗的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711469902.XA CN109474569A (zh) | 2017-12-29 | 2017-12-29 | 一种检测web缓存欺骗的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711469902.XA CN109474569A (zh) | 2017-12-29 | 2017-12-29 | 一种检测web缓存欺骗的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109474569A true CN109474569A (zh) | 2019-03-15 |
Family
ID=65658220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711469902.XA Withdrawn CN109474569A (zh) | 2017-12-29 | 2017-12-29 | 一种检测web缓存欺骗的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109474569A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112434292A (zh) * | 2020-10-18 | 2021-03-02 | 苏州浪潮智能科技有限公司 | 一种Web缓存投毒防护的方法和设备 |
CN112887410A (zh) * | 2021-01-28 | 2021-06-01 | 郑州市景安网络科技股份有限公司 | 一种web服务程序的运行方法、装置、设备及存储介质 |
CN113452689A (zh) * | 2021-06-24 | 2021-09-28 | 北京丁牛科技有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
CN116668063A (zh) * | 2023-04-11 | 2023-08-29 | 应急管理部大数据中心 | 基于中间件进程植入的网络攻击反制方法及软件系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102426580A (zh) * | 2010-09-17 | 2012-04-25 | 微软公司 | 检测潜在的欺诈在线用户活动 |
CN104160680A (zh) * | 2012-03-06 | 2014-11-19 | 思科技术公司 | 用于透明代理缓存的欺骗技术 |
US20140359293A1 (en) * | 2011-12-02 | 2014-12-04 | Blackberry Limited | Method and device for secure notification of identity |
US20160197886A1 (en) * | 2015-01-07 | 2016-07-07 | Anchorfree Inc. | Secure personal server system and method |
-
2017
- 2017-12-29 CN CN201711469902.XA patent/CN109474569A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102426580A (zh) * | 2010-09-17 | 2012-04-25 | 微软公司 | 检测潜在的欺诈在线用户活动 |
US20140359293A1 (en) * | 2011-12-02 | 2014-12-04 | Blackberry Limited | Method and device for secure notification of identity |
CN104160680A (zh) * | 2012-03-06 | 2014-11-19 | 思科技术公司 | 用于透明代理缓存的欺骗技术 |
US20160197886A1 (en) * | 2015-01-07 | 2016-07-07 | Anchorfree Inc. | Secure personal server system and method |
Non-Patent Citations (2)
Title |
---|
江南_风少: "新型Web攻击技术—Web缓存欺骗", 《CSDN》 * |
蔡晶晶: "HTTP响应拆分攻击分析及其检测方法设计", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112434292A (zh) * | 2020-10-18 | 2021-03-02 | 苏州浪潮智能科技有限公司 | 一种Web缓存投毒防护的方法和设备 |
CN112434292B (zh) * | 2020-10-18 | 2023-01-06 | 苏州浪潮智能科技有限公司 | 一种Web缓存投毒防护的方法和设备 |
CN112887410A (zh) * | 2021-01-28 | 2021-06-01 | 郑州市景安网络科技股份有限公司 | 一种web服务程序的运行方法、装置、设备及存储介质 |
CN113452689A (zh) * | 2021-06-24 | 2021-09-28 | 北京丁牛科技有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
CN113452689B (zh) * | 2021-06-24 | 2022-09-27 | 丁牛信息安全科技(江苏)有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
CN116668063A (zh) * | 2023-04-11 | 2023-08-29 | 应急管理部大数据中心 | 基于中间件进程植入的网络攻击反制方法及软件系统 |
CN116668063B (zh) * | 2023-04-11 | 2024-01-30 | 应急管理部大数据中心 | 基于中间件进程植入的网络攻击反制方法及软件系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8615802B1 (en) | Systems and methods for detecting potential communications fraud | |
JP5792198B2 (ja) | ユーザの閲覧履歴に基づくurlフィルタリング | |
CN109474569A (zh) | 一种检测web缓存欺骗的方法及系统 | |
RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
US7991957B2 (en) | Abuse detection using distributed cache | |
US20110191664A1 (en) | Systems for and methods for detecting url web tracking and consumer opt-out cookies | |
CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
US20140173730A1 (en) | Security Method and Apparatus | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
CN103491543A (zh) | 通过无线终端检测恶意网址的方法、无线终端 | |
CN107241300B (zh) | 用户请求的拦截方法和装置 | |
CN110035075A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
US8856877B2 (en) | Method and system to optimize efficiency when managing lists of untrusted network sites | |
CN110795395B (zh) | 文件部署系统和文件部署方法 | |
CN110198328A (zh) | 客户端识别方法、装置、计算机设备和存储介质 | |
CN108449368A (zh) | 一种应用层攻击检测方法、装置和电子设备 | |
CN108667770A (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
CN105915621A (zh) | 访问数据的方法及预处理服务器 | |
CN108256014A (zh) | 页面展示方法及装置 | |
CN106254528A (zh) | 一种资源下载方法和缓存设备 | |
CN111083093A (zh) | 调用端能力的方法和装置 | |
KR100977180B1 (ko) | 스팸메일을 필터링하기 위한 방법, 시스템 및 컴퓨터 판독가능한 기록 매체 | |
KR20090014507A (ko) | 웹사이트 주소 검증 시스템 및 주소 검증 방법 | |
US20070011170A1 (en) | Systems and methods for granting access to data on a website |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190315 |
|
WW01 | Invention patent application withdrawn after publication |