CN109560960B - Waf暴力破解防护的参数配置方法及装置、waf系统 - Google Patents

Abstract

本说明书提供一种WAF暴力破解防护的参数配置方法及装置、WAF系统，所述方法包括：配置防护页面的URL信息，开启WAF的防护功能；根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；根据所述标识参数对所述防护页面进行参数配置。该方案避免了用户进行抓包和报文分析处理查找登录标识参数及参数配置过程，整个配置过程操作简单、过程友好，能够实现智能化配置，提高配置效率。

Description

WAF暴力破解防护的参数配置方法及装置、WAF系统

技术领域

本说明书涉及计算机安全技术领域，尤其涉及一种WAF暴力破解防护的参数配置方法及装置、WAF系统。

背景技术

暴力破解法也叫列举法，是一种针对于密码的破译方法，其原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。在字典足够庞大的情况下，即可成功破解；通过破解获得系统管理员口令，进而掌握服务器的控制权，这是黑客的一个重要手段。例如，针对于Web服务器的暴力破解，通常用在已知部分信息，尝试爆破网站后台，为下一步的渗透测试做准备。

为了防止被暴力破解，目前普遍使用WAF(Web Application Firewall，Web应用防火墙)，WAF是一款通过执行一系列针对HTTP(HyperText Transfer Protocol，超文本传输协议)/HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，HTTP的安全版)的安全策略来专门为Web应用提供保护的安全产品，WAF通过配置相应的规则，能有效地防护暴力破解的攻击。

WAF在使用过程中，需要先配置防护参数，传统方法的配置过程需要用户进行抓包和报文分析处理查找登录标识参数然后再进行配置，操作复杂、过程繁琐，既不友好也缺乏智能，影响了WAF的推广使用。

发明内容

为克服相关技术中存在的问题，本说明书提供了WAF暴力破解防护的参数配置方法及装置、WAF系统。

根据本说明书实施例的第一方面，提供一种WAF暴力破解防护的参数配置方法，所述方法包括：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；

根据所述标识参数对所述防护页面进行参数配置。

根据本说明书实施例的第二方面，提供一种WAF暴力破解防护的参数配置装置，包括：

URL配置模块，用于配置防护页面的URL信息，开启WAF的防护功能；

登录测试模块，用于根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；

参数配置模块，用于根据所述标识参数对所述防护页面进行参数配置。

根据本说明书实施例的第三方面，提供一种WAF系统，该系统部署于服务器前端，包括有处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；

根据所述标识参数对所述防护页面进行参数配置。

根据本说明书实施例的第四方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现如下方法：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；

根据所述标识参数对所述防护页面进行参数配置。

本说明书的实施例提供的技术方案可以包括以下有益效果：

通过配置防护页面的URL信息，开启WAF的防护功能；根据URL信息访问服务器，并在服务器响应的登录界面上进行模拟登录测试，利用模拟登录识别WAF规则的标识参数，自动对所述防护页面进行参数配置。该方案避免了用户进行抓包和报文分析处理查找登录标识参数及参数配置过程，整个配置过程操作简单、过程友好，能够实现智能化配置，提高配置效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。

图1为本说明书根据一示例性实施例示出的应用环境示意图。

图2是本说明书根据一示例性实施例示出的WAF暴力破解防护的参数配置方法的流程图。

图3是本说明书根据一示例性实施例示出的服务器回应登录界面信息的示意图。

图4是根据一示例性实施例示出的WAF与服务器之间交互的时序图。

图5是本说明书根据一示例性实施例示出的一种WAF暴力破解防护的参数配置装置的框图。

图6为本说明书实施例WAF暴力破解防护的参数配置装置所在计算机设备的一种硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

接下来对本说明书实施例进行详细说明。

本说明书实施例所提供的技术方案，可以用于各种安装了WAF的网络场景中，其应用的环境可以如图1所示，图1为本说明书根据一示例性实施例示出的应用环境示意图，请参考图1所示，该技术方案应用于WAF上，终端设备包括个人电脑PC、智能手机、平板电脑、PDA等设备，但并不局限于此。终端设备可以通过互联网与服务器(一般是指Web服务器)进行通信。WAF部署在服务器前端，对服务器进行防护，这里所说的服务器也可以是指一个服务器或多个服务器的集群。

如图2所示，图2是本说明书根据一示例性实施例示出的WAF暴力破解防护的参数配置方法的流程图，包括以下步骤：

在步骤S101、配置防护页面的URL(Uniform Resource Locator，统一资源定位符)信息，开启WAF的防护功能。

此步骤中，在WAF上配置需要防护页面的URL，然后打开WAF的主动防护功能；WAF在使用过程中，需要先配置要防护的Web页面的URL信息，然后再获取登录标识信息配置对应的爆破防护参数。

在一个实施例中，可以根据用户的操作，获取用户输入的Web页面的URL，根据所述URL配置WAF需要防护的登录页面；该过程目的是确定用户指定需要防护的web页面信息，并告知WAF用户需要防护的登录页面的信息。

在步骤S102、根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数。

上述步骤中，在开启了暴力破解防护功能后，主动发送一个配置的URL的请求报文到服务器，然后在服务器相应的报文页面中模拟进行一次登录，并自动抓取相应的报文内容，分析提取暴力破解的重要标识参数。

在一个实施例中，步骤S102中根据所述URL信息访问服务器的过程可以如下：

根据所述URL信息生成HTTP请求报文；向服务器发送所述HTTP请求报文，获取所述服务器响应的登录界面。

通过主动发送一个配置的URL的请求报文到服务器，根据URL配置自动发送已配置的URL的HTTP请求报文可以如下：

http://www.testserver.com/cms/admin/login.php

参考图3，图3是本说明书根据一示例性实施例示出的服务器回应登录界面信息的示意图，该登录页面是文章管理系统的登录页面；页面上提示用户输入用户名(或用户账号)和密码。

在一个实施例中，在所述服务器响应的登录界面上进行模拟登录测试获取标识参数的步骤可以如下：

利用内置的测试账号在服务器响应的登录界面上进行模拟登录测试；获取服务器返回的响应报文，从所述响应报文中提取用户标识和密码标识。

作为实施例，从所述响应报文中提取用户标识和密码标识的过程可以包括如下：

从浏览器缓存“cookie”中提取用户名标识“username”字段和密码标识“password”字段，从所述用户名标识“username”字段和密码标识“password”字段中提取用户标识和密码标识。

暴力破解在进行枚举时，每次发送的数据都封装成完整的HTTP数据包发送至服务器，通过获取构造HTTP包所需要的参数，暴力破解软件构造工具数据包实施攻击。本发明实施例方案，WAF可以通过主动模拟登录发包测试，即可获取到构造HTTP包所需要的参数。

如图3中服务器响应的登录界面，可以在服务器相应的报文页面中模拟输入一次测试账号及测试密码并提交，测试账户可以是真实存在或者不存在的任意账户，该登录测试是模拟一次失败的登录，自动抓取服务器返回相应的POST报文进行分析，从而可以精准找出其中的用户名标识参数和密码标识参数。

对于构造HTTP数据包所需要的参数，包括get/post参数、referer参数、提交的字段名等。

其中：referer参数主要是一些网站需要验证的referer信息，用于通知服务器当前登录请求来自于哪个页面；post/get参数可以决定数据包的提交方式；字段名通常存放在cookie当中，采用正确的字段名，才能将请求数据正确的提交给服务器。

在步骤S103、根据所述标识参数对所述防护页面进行参数配置。

此步骤中，通过自动识别的暴力破解的标识参数，对WAF进行参数配置，避免了用户去抓包和报文分析处理环节，降低了操作复杂度，简化了处理流程。

在一个实施例中，在收集到用户标识和密码标识后，可以将所述用户标识和密码标识记录在WAF的暴力破解标识参数中；根据所述暴力破解标识参数配置所述URL信息对应登录页面防护的参数。

作为实施例，对于配置过程，可以根据所述暴力破解标识参数配置所述URL信息对应的登录页面访问流量的阈值；当检测到登录报文中带有所述暴力破解标识参数的数据包流量超过所述阈值时，对所述登录页面进行防护。

上述技术方案，根据记录在WAF的暴力破解标识参数中，对用户配置的URL下，报文中带有对应设备已识别并记录的用户名及密码标识的流量，当流量达到了一定的阈值之后对相应页面进行防护。通过对攻击的数据包进行自动匹配统计和防护。

如图4所示，图4是根据一示例性实施例示出的WAF与服务器之间交互的时序图，描述了用户如何进行参数配置的过程，包括如下步骤：

s401，用户配置WAF的URL信息，开启WAF的自动防护功能；

s402，WAF依据URL请求访问服务器；

s403，服务器返回登录界面至WAF；

s404，WAF在登录界面上模拟登录测试；

s405，服务器反馈POST报文至WAF；

s406，WAF自动抓包并解析POST报文，收集用户标识和密码标识；

s407，WAF将用户标识和密码标识记录到暴力破解标识参数中；

s408，返回配置结果，完成配置过程。

可以看出上述实施例的方案能够对暴力破解防护的WAF规则中的用户名及密码标识的自动识别及自动匹配，用户只需要设置URL信息并开启WAF的主动防护功能，避免了手动抓包去找参数及配置过程，WAF自动获取并识别POST报文中的登录参数信息。配置操作简单、过程快捷，配置过程友好和智能化，提高了配置效率，降低了WAF的使用门槛，便于推广使用。

与前述方法的实施例相对应，本说明书还提供了WAF暴力破解防护的参数配置装置及WAF系统的实施例。

如图5所示，图5是本说明书根据一示例性实施例示出的一种WAF暴力破解防护的参数配置装置的框图，所述装置包括：

URL配置模块101，用于配置防护页面的URL信息，开启WAF的防护功能；

登录测试模块102，用于根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；

参数配置模块103，用于根据所述标识参数对所述防护页面进行参数配置。

上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

WAF暴力破解防护的参数配置装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。该计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现如下方法：配置防护页面的URL信息，开启WAF的防护功能；根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；根据所述标识参数对所述防护页面进行参数配置。

从硬件层面而言，如图6所示，图6为本说明书实施例WAF暴力破解防护的参数配置装置所在计算机设备的一种硬件结构图，除了图6所示的处理器610、内存630、网络接口620、以及非易失性存储器640之外，还可以包括其他硬件，对此不再赘述。

相应的，本说明书还提供一种WAF系统，该系统部署于服务器前端，包括有处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：

配置防护页面的URL信息，开启WAF的防护功能；根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数；根据所述标识参数对所述防护页面进行参数配置。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims (9)

1.一种WAF暴力破解防护的参数配置方法，包括：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数，具体包括：利用内置的测试账号在服务器响应的登录界面上进行模拟登录测试，获取服务器返回的响应报文，从所述响应报文中提取用户标识和密码标识；

根据所述标识参数对所述防护页面进行参数配置。

2.根据权利要求1所述的方法，其特征在于，所述配置防护页面的URL信息的步骤包括：

获取用户输入的Web页面的URL，根据所述URL配置WAF需要防护的登录页面。

3.根据权利要求1所述的方法，其特征在于，所述根据所述URL信息访问服务器的步骤包括：

根据所述URL信息生成HTTP请求报文；

向服务器发送所述HTTP请求报文，并获取所述服务器响应的登录界面。

4.根据权利要求1所述的方法，其特征在于，所述从所述响应报文中提取用户标识和密码标识的步骤包括：

从浏览器缓存中提取用户名标识字段和密码标识字段，从所述用户名标识字段和密码标识字段中提取用户名标识和密码标识。

5.根据权利要求4所述的方法，其特征在于，所述根据所述标识参数对所述防护页面进行参数配置的步骤包括：

将所述用户标识和密码标识记录在WAF的暴力破解标识参数中；

根据所述暴力破解标识参数对所述URL信息对应登录页面防护的参数进行配置。

6.根据权利要求5所述的方法，其特征在于，所述根据所述暴力破解标识参数对所述URL信息对应登录页面防护的参数进行配置的步骤后，还包括：

设置所述URL信息对应的登录页面访问流量的阈值；

当检测到登录报文中带有所述暴力破解标识参数的数据包流量超过所述阈值时，对所述登录页面进行防护。

7.一种WAF暴力破解防护的参数配置装置，所述装置包括：

URL配置模块，用于配置防护页面的URL信息，开启WAF的防护功能；

登录测试模块，用于根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数，具体包括：利用内置的测试账号在服务器响应的登录界面上进行模拟登录测试，获取服务器返回的响应报文，从所述响应报文中提取用户标识和密码标识；

参数配置模块，用于根据所述标识参数对所述防护页面进行参数配置。

8.一种WAF系统，该系统部署于服务器前端，包括有处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数，具体包括：利用内置的测试账号在服务器响应的登录界面上进行模拟登录测试，获取服务器返回的响应报文，从所述响应报文中提取用户标识和密码标识；

根据所述标识参数对所述防护页面进行参数配置。

9.一种计算机设备，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现如下方法：

配置防护页面的URL信息，开启WAF的防护功能；

根据所述URL信息访问服务器，并在所述服务器响应的登录界面上进行模拟登录测试获取标识参数，具体包括：利用内置的测试账号在服务器响应的登录界面上进行模拟登录测试，获取服务器返回的响应报文，从所述响应报文中提取用户标识和密码标识；

根据所述标识参数对所述防护页面进行参数配置。

Images