CN109977673A - 一种基于web网站系统安全的漏洞修复方法及系统 - Google Patents
一种基于web网站系统安全的漏洞修复方法及系统 Download PDFInfo
- Publication number
- CN109977673A CN109977673A CN201711450719.5A CN201711450719A CN109977673A CN 109977673 A CN109977673 A CN 109977673A CN 201711450719 A CN201711450719 A CN 201711450719A CN 109977673 A CN109977673 A CN 109977673A
- Authority
- CN
- China
- Prior art keywords
- loophole
- web site
- restorative procedure
- type
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于web网站系统安全的漏洞修复方法及系统,其特征在于,所述方法包括:对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型;根据所述漏洞类型确定不同漏洞之间的关联度;根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序;根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复方法进行漏洞修复。本发明的方案降低了网站安全防护的难度,让大多数的web网站在比较轻松的同时都可以享受到专业以及高度的安全防护;在同样保证高度安全性的同时,极大地降低了安全防护的成本,易于推广和实践;对整个web网站系统本身资源消耗小,不需要占用额外的cup和内存等服务器资源。
Description
技术领域
本发明涉及系统安全技术领域,并且更具体地,涉及一种基于web网站系统安全的漏洞修复方法及系统。
背景技术
在安全形式日益严重的今天,web网站系统的安全防护变的尤为重要。但传统市场对此认识不足,仍然以功能需求为第一要任,形成了web网站巨大的安全隐患。目前市场上对于web网站的安全性不过多关注,一些网站防护不当,更多的普通的web网站由于成本等原因,无法通过购买安全产品或者安全服务器达到本身的安全,造成自身完全裸露在危险的互联网环境中,缺乏必要的安全保护。
传统的web网站防护无非是两种方案:第一,通过购买相关安全软件防护网站,第二,通过购买安全服务器如相关堡垒机等手段防护网站。这样做的缺陷是很明显的,成本问题以及操作复杂性足以难倒大多数web网站服务者,尤其对于中小型web网站来说,预算问题可能是无法通过这些手段防护的根本原因,从而导致安全问题。
因此,需要一种漏洞修复方法,能够使得多数的web网站在运行轻松的同时能够获取高度的安全防护。
发明内容
本发明提供了一种基于web网站系统安全的漏洞修复方法及系统,以解决如何使得多数的web网站能够获得高度的安全防护的问题。
为了解决上述问题,根据本发明的一个方面,提供了一种基于web网站系统安全的漏洞修复方法,所述方法包括:
对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型;
根据所述漏洞类型确定不同漏洞之间的关联度;
根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序;
根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复方法进行漏洞修复。
优选地,其中所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
优选地,其中所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。
优选地,其中所述SQL注入漏洞对应的修复方法为:
屏蔽用户提交的SQL语句中的危险标识;
在所有的能与后台SQL交互的前台输入框中都加入js或者其他方法的正则表达式限制,限制用户的输入;
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
优选地,其中所述跨站脚本攻击漏洞对应的修复方法为:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;
利用转码的方式破坏恶意脚本的执行。
优选地,其中所述解密登录请求攻击漏洞对应的修复方法为:
利用https协议对登录信息进行加密。
优选地,其中所述会话标识攻击漏洞对应的修复方法为:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
优选地,其中所述方法还包括:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
优选地,其中所述方法还包括:
若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。
根据本发明的另一个方面,提供了一种基于web网站系统安全的漏洞修复系统,所述系统包括:
漏洞类型确定模块,用于对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型;
漏洞关联度确定模块,用于根据所述漏洞类型确定不同漏洞之间的关联度;
修复优先级确定模块,用于根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序;
漏洞修复模块,用于根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复系统进行漏洞修复。
优选地,其中所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
优选地,其中所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。
优选地,其中所述漏洞修复模块包括:SQL注入漏洞修复单元,具体用于:
屏蔽用户提交的SQL语句中的危险标识;
在所有的能与后台SQL交互的前台输入框中都加入js或者其他系统的正则表达式限制,限制用户的输入;
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
优选地,其中所述漏洞修复模块包括:跨站脚本攻击漏洞修复单元,具体用于:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;
利用转码的方式破坏恶意脚本的执行。
优选地,其中所述漏洞修复模块包括:解密登录请求攻击漏洞修复单元,具体用于:
利用https协议对登录信息进行加密。
优选地,其中所述洞修复模块包括会话标识攻击漏洞修复单元,具体用于:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
优选地,其中所述漏洞类型确定模块,还用于:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
优选地,其中所述系统还包括:
漏洞分析修复模块,用于若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。
本发明提供了一种基于web网站系统安全的漏洞修复方法及系统,通过确定web网站系统中存在的漏洞对应的漏洞类型,确定确定修复的优先级顺序,根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复方法进行漏洞修复。本发明的方案降低了网站安全防护的难度,让大多数的web网站在比较轻松的同时都可以享受到专业以及高度的安全防护;同时,在同样保证高度安全性的同时,极大地降低了安全防护的成本,易于推广和实践,一次安全代码防护,终生有效,不需要和传统服务器防护或者软件防护一样需要运维,对整个web网站系统本身资源消耗小,不需要占用额外的cup,内存等服务器资源。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的基于web网站系统安全的漏洞修复方法100的流程图;以及
图2为根据本发明实施方式的基于web网站系统安全的漏洞修复系统200的示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的基于web网站系统安全的漏洞修复方法100的流程图。如图1所示,本发明实施方提供的基于web网站系统安全的漏洞修复方法主要是针对web网站系统安全漏洞的安全代码修复,具体漏洞不同,修复的方法也不同,本发明降低了网站安全防护的难度,让大多数的web网站在比较轻松的同时都可以享受到专业以及高度的安全防护;同时,在同样保证高度安全性的同时,极大地降低了安全防护的成本,易于推广和实践,一次安全代码防护,终生有效,不需要和传统服务器防护或者软件防护一样需要运维,对整个web网站系统本身资源消耗小,不需要占用额外的cup,内存等服务器资源。本发明实施方式的基于web网站系统安全的漏洞修复方法100的从步骤101处开始,在步骤101对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型。优选地,其中所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
SQL注入漏洞的原理为:在数据库应用程序中,用户在向应用程序提交的输人数据中包含SQL查询串,从而获取数据和权限的一种攻击方式。换句话说,SQL注入是攻击者利用SQL语言来攻击的方式,在合法的文本框内输入恶意的SQL语言,欺骗服务器执行恶意的SQL命令,进而达到传向后台修改查询数据库的目的。
一般来说,SQL注入就是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作。
跨站脚本攻击漏洞的原理为:跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。跨站点脚本编制攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定Web站点交互时假冒这位用户。
由于Web站点中所包含的脚本直接将用户在HTML页面中的输入(通常是参数值)返回,而不预先加以清理。如果脚本在响应页面中返回由JavaScript代码组成的输入,浏览器便可以执行输入中的代码。因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的JavaScript代码组成。该代码将在站点上下文中(由用户浏览器)执行,这授权它通过用户浏览器访问用户所拥有的站点Cookie以及站点的其他窗口。
解密登录请求攻击漏洞的原理为:用户在系统的过程中,采取了非ssl加密的普通协议,如http协议,这样的话,攻击者就可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息,从而造成安全隐患。
会话标识攻击漏洞的原理为:当普通用户登录到一个易受攻击的站点时,这个站点会生成一个session作为当前的会话,并将sessionID(会话标识)保存在浏览器文件的cookie中;如果用户再次登录这个站点,浏览器会首先把cookie中的sessionID提交给站点进行判断,如果此时站点的session中有一个session的ID值与之匹配(session存在有效期的,此时的状态是session未过期),那么这个登录请求就会沿用这个旧的会话(认证登录);如果没有匹配的session(session被销毁或者已经过期),那么站点就会新建一个session来作为新的会话。
会话标识未更新指的是,当攻击者非法窃取了普通用户的cookie,如果站点的会话标识没有改变,根据上面所说的原理,攻击者就可以通过cookie中的会话标识认证通过,冒充用户进行操作,从而使攻击者能够以该用户身份查看或变更用户记录以及执行事务。
优选地,在步骤102根据所述漏洞类型确定不同漏洞之间的关联度。所述关联度即各种漏洞修复之间的因果关系等。
优选地,在步骤103根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序。优选地,其中所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。例如,若确定的漏洞类型为SQL注入漏洞和会话标识攻击漏洞,由于SQL注入漏洞的危险等级高于会话标识攻击漏洞的危险等级,且两者之间的关联度为0,则确定修复的优先级顺序为:SQL注入漏洞修复、会话标识攻击漏洞。
优选地,在步骤104根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复方法进行漏洞修复。
优选地,其中所述SQL注入漏洞对应的修复方法为:屏蔽用户提交的SQL语句中的危险标识;或在所有的能与后台SQL交互的前台输入框中都加入js或者其他方法的正则表达式限制,限制用户的输入;或在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
屏蔽用户提交的SQL语句中的危险标识,这种防止SQL注入的方法,总的思想就是在数据已经提交但是尚未执行的时候,进行数据校验,屏蔽那些危险的SQL字符,一旦遇到危险字符将其替换并且停止请求,从而阻止SQL注入的发生。其中,需要屏蔽的危险字符包括:“;”、“,”、“(”、“)”、“%”、“*”和“'”;需要屏蔽的危险字符串包括:select,insert,delete,update,and,or;有时还需要屏蔽from,table,count,truncate,mid,等SQL关键字。其中,上述危险字符均为英文半角。
但是,此种方法也存在无法屏蔽的情况,例如:在屏蔽危险字符的过滤器filter中,如果仅仅把危险字符替换掉,比如把“;”替换成“”或者把半角字符替换成全角字符,而不中断其向数据库请求的话,是无法完全屏蔽SQL注入的。
在所有的能与后台SQL交互的前台输入框中都加入js或者其他方法的正则表达式限制,限制用户的输入的方法能够拒绝用户输入那些危险字符。这种限制输入的方法,好处在于单个配置简单,坏处在于当前台的输入框数量庞大时,挨个限制十分繁琐且使代码累赘。
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值,即参数化查询。MyBits框架本身提供了参数化查询的功能,具体做法是:在于数据库交互的SQL语句中,不能使用“$”来标识参数,只能使用“#”来标识。
优选地,其中所述跨站脚本攻击漏洞对应的修复方法为:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;或利用转码的方式破坏恶意脚本的执行。
防止跨站点脚本攻击的方法最有效的就是利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程,从而实现跨站点脚本攻击的防护。需要屏蔽的危险字符包括:“”、“"”、“<”和“>”,其中以上字符为英文半角。其中“<”可以策略化过滤,例如:
另外,还可以利用转码的方式破坏恶意脚本的执行,解决此网站漏洞,例如html转码等,这样就可以破坏恶意脚本的执行,从而达到防护目的。
优选地,其中所述解密登录请求攻击漏洞对应的修复方法为:利用https协议对登录信息进行加密。
由于已解密的登录请求是由登录信息未加密引起的,那么最有效的办法一定就是将登陆信息加密之后再传输给后台,加密的方法最好的是使用https协议(ssl),不仅安全而且方便(ps:在IBM AppScan软件的测评中,其实也只有这一种办法可以通过测试)。而在ssl中,一般只要选择单向认证即可,也就是说,只进行服务器的验证而不需要服务器和客户端双向认证。下面是单向认证的具体步骤:
Step1:为web服务器生成证书
假定目标机器的域名是“localhost”,keystore文件存放地址为:“D:\home\tomcat.keystore”,口令为“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500(参数简要说明:“D:\home\tomcat.keystore”含义是将证书文件的保存路径,证书文件名称是tomcat.keystore;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天“tomcat”为自定义证书名称)。
在命令行填写必要参数:
A、输入keystore密码:此处需要输入大于6个字符的字符串。
B、“您的名字与姓氏是什么?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com或者10.1.25.251](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。
C、你的组织单位名称是什么?”、“您的组织名称是什么?”、“您所在城市或区域名称是什么?”、“您所在的州或者省份名称是什么?”、“该单位的两字母国家代码是什么?”可以按照需要填写也可以不填写直接回车,在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息。
D、输入<tomcat>的主密码,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以,完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件。
Step2:重新配置tomcat配置文件
打开Tomcat根目录下的/conf/server.xml,找到Connector port="8443"配置段,修改为如下:
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"maxThreads="150"scheme="https"
secure="true"clientAuth="false"sslProtocol="TLS"
keystoreFile="D:\\home\\tomcat.keystore"keystorePass="123456"
(tomcat要与生成的服务端证书名一致)
属性说明:clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证;keystoreFile:服务器证书文件路径;keystorePass:服务器证书密码。
注意:这里的8443端口是可以改变的,如果原来的http协议传输是tomcat端口为8080,那么这里的8443也可以改成8080端口,这样对原来的服务影响不大了。需要注意的是,不能同时配置http的8080和https(ssl)的8080。
Step3:没改默认端口8443的情况下,在浏览器中输如如网址:https://localhost:8443/,会弹出选择客户端证书界面,点击“确定”,会进入tomcat主页,地址栏后会有“锁”图标,表示本次会话已经通过HTTPS双向验证,接下来的会话过程中所传输的信息都已经过SSL信息加密。
优选地,其中所述会话标识攻击漏洞对应的修复方法为:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
AppScan的工作原理为:扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
依据这个原理,解决漏洞必须要让登录前后的会话标识更新,实现方法为:
1.建立一个过滤器filter,过滤范围是登录行为前后;
2.在登录之前取cookie,将cookie销毁;取当前session,将session一起销毁;
cookies.setMaxAge(0);//cookie失效
session.invalidate();//session销毁
3.新建新的session,将旧session中的信息放到新的session中。
优选地,其中所述方法还包括:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
优选地,其中所述方法还包括:
若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。待修复成功后,将所述更新的修复方法更新到修复方法数据中。
图2为根据本发明实施方式的基于web网站系统安全的漏洞修复系统200的示意图。如图2所示,本发明的实施方式提供的基于web网站系统安全的漏洞修复系统200包括:漏洞类型确定模块201、漏洞关联度确定模块202、修复优先级确定模块203、和漏洞修复模块204。优选地,在所述漏洞类型确定模块201,对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型。优选地,其中所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
优选地,其中所述漏洞类型确定模块,还用于:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
优选地,在所述漏洞关联度确定模块202,根据所述漏洞类型确定不同漏洞之间的关联度。
优选地,在所述修复优先级确定模块203,根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序。
优选地,其中所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。
优选地,在所述漏洞修复模块204,用于根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复系统进行漏洞修复。
优选地,其中所述漏洞修复模块包括:SQL注入漏洞修复单元2041,具体用于:
屏蔽用户提交的SQL语句中的危险标识;
在所有的能与后台SQL交互的前台输入框中都加入js或者其他系统的正则表达式限制,限制用户的输入;
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
优选地,其中所述漏洞修复模块包括:跨站脚本攻击漏洞修复单元2042,具体用于:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;
利用转码的方式破坏恶意脚本的执行。
优选地,其中所述漏洞修复模块包括:解密登录请求攻击漏洞修复单元2043,具体用于:
利用https协议对登录信息进行加密。
优选地,其中所述洞修复模块包括:会话标识攻击漏洞修复单元2044,具体用于:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
优选地,其中所述系统还包括:
漏洞分析修复模块,用于若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。
本发明的实施例的基于web网站系统安全的漏洞修复系统200与本发明的另一个实施例的基于web网站系统安全的漏洞修复方法100相对应,在此不再赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (18)
1.一种基于web网站系统安全的漏洞修复方法,其特征在于,所述方法包括:
对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型;
根据所述漏洞类型确定不同漏洞之间的关联度;
根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序;
根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复方法进行漏洞修复。
2.根据权利要求1所述的方法,其特征在于,所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
3.根据权利要求2所述的方法,其特征在于,所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。
4.根据权利要求2所述的方法,其特征在于,所述SQL注入漏洞对应的修复方法为:
屏蔽用户提交的SQL语句中的危险标识;
在所有的能与后台SQL交互的前台输入框中都加入js或者其他方法的正则表达式限制,限制用户的输入;
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
5.根据权利要求2所述的方法,其特征在于,所述跨站脚本攻击漏洞对应的修复方法为:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;
利用转码的方式破坏恶意脚本的执行。
6.根据权利要求2所述的方法,其特征在于,所述解密登录请求攻击漏洞对应的修复方法为:
利用https协议对登录信息进行加密。
7.根据权利要求2所述的方法,其特征在于,所述会话标识攻击漏洞对应的修复方法为:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。
10.一种基于web网站系统安全的漏洞修复系统,其特征在于,所述系统包括:
漏洞类型确定模块,用于对web网站系统进行扫描,确定所述web网站系统中存在的漏洞对应的漏洞类型;
漏洞关联度确定模块,用于根据所述漏洞类型确定不同漏洞之间的关联度;
修复优先级确定模块,用于根据所述不同漏洞的危险等级和不同漏洞之间的关联度,确定修复的优先级顺序;
漏洞修复模块,用于根据所述修复的优先级顺序分别调用修复数据库中每个漏洞类型对应的修复系统进行漏洞修复。
11.根据权利要求10所述的系统,其特征在于,所述漏洞类型为:SQL注入漏洞、跨站脚本攻击漏洞、解密登录请求攻击漏洞或会话标识攻击漏洞。
12.根据权利要求11所述的系统,其特征在于,所述SQL注入漏洞的危险等级为1级;所述解密登录请求攻击漏洞的危险等级为2级;所述跨站脚本攻击漏洞的危险等级为3级;所述会话标识攻击漏洞的危险等级为4级,其中,级数越小,漏洞的危险等级越高。
13.根据权利要求11所述的系统,其特征在于,所述漏洞修复模块包括:SQL注入漏洞修复单元,具体用于:
屏蔽用户提交的SQL语句中的危险标识;
在所有的能与后台SQL交互的前台输入框中都加入js或者其他系统的正则表达式限制,限制用户的输入;
在与数据库连接并访问数据时,在前台需要输入数据的位置,使用参数来给值。
14.根据权利要求11所述的系统,其特征在于,所述漏洞修复模块包括:跨站脚本攻击漏洞修复单元,具体用于:
利用过滤器filter,屏蔽JavaScript中的特殊字符和字符串,阻止利用JavaScript来获取用户信息的过程;
利用转码的方式破坏恶意脚本的执行。
15.根据权利要求11所述的系统,其特征在于,所述漏洞修复模块包括:解密登录请求攻击漏洞修复单元,具体用于:
利用https协议对登录信息进行加密。
16.根据权利要求11所述的系统,其特征在于,所述洞修复模块包括会话标识攻击漏洞修复单元,具体用于:
将用户上次登录web网站系统的会话标识注销,当所述用户再次登录所述web网站系统时,建立新的会话标识。
17.根据权利要求10至16中任一项所述的系统,其特征在于,所述漏洞类型确定模块,还用于:
若无法确定所述web网站系统中存在的漏洞对应的漏洞类型,则将无法确定漏洞类型的漏洞发送至服务器进行分析处理,确定对应的新的漏洞类型和修复方法,并将所述新的漏洞类型和修复方法添加至修复方法数据库中。
18.根据权利要求17所述的系统,其特征在于,所述系统还包括:
漏洞分析修复模块,用于若修复失败,则服务器对所述漏洞修复失败的原因进行分析,并确定该漏洞的更新的修复方法,并利用所述更新的修复方法对该漏洞进行修复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711450719.5A CN109977673B (zh) | 2017-12-27 | 2017-12-27 | 一种基于web网站系统安全的漏洞修复方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711450719.5A CN109977673B (zh) | 2017-12-27 | 2017-12-27 | 一种基于web网站系统安全的漏洞修复方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109977673A true CN109977673A (zh) | 2019-07-05 |
| CN109977673B CN109977673B (zh) | 2021-07-16 |
Family
ID=67071911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711450719.5A Active CN109977673B (zh) | 2017-12-27 | 2017-12-27 | 一种基于web网站系统安全的漏洞修复方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109977673B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110928782A (zh) * | 2019-11-20 | 2020-03-27 | 北京国舜科技股份有限公司 | 应用安全管理方法、装置、电子设备及存储介质 |
| CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN111538994A (zh) * | 2020-04-20 | 2020-08-14 | 中科三清科技有限公司 | 一种系统安全检测及修复方法、装置、存储介质及终端 |
| CN113949572A (zh) * | 2021-10-18 | 2022-01-18 | 杭州安恒信息安全技术有限公司 | 一种数据处理的方法、装置及介质 |
| CN116502240A (zh) * | 2023-06-29 | 2023-07-28 | 北华航天工业学院 | 一种用于应用软件的安全漏洞的溯源分析方法 |
| CN117014214A (zh) * | 2023-08-21 | 2023-11-07 | 中山市智牛电子有限公司 | 一种led显示屏的智能控制系统及控制方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN102664876A (zh) * | 2012-04-10 | 2012-09-12 | 星云融创(北京)科技有限公司 | 网络安全检测方法及系统 |
| CN106453267A (zh) * | 2016-09-21 | 2017-02-22 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种检测http参数污染漏洞的方法 |
| CN106453403A (zh) * | 2016-11-21 | 2017-02-22 | 国家电网公司 | 一种基于攻击链的漏洞整改顺序确定方法及系统 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107196955A (zh) * | 2017-06-15 | 2017-09-22 | 北京理工大学 | 基于漏洞关联性分析的网络系统主动防御方法 |
-
2017
- 2017-12-27 CN CN201711450719.5A patent/CN109977673B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN102664876A (zh) * | 2012-04-10 | 2012-09-12 | 星云融创(北京)科技有限公司 | 网络安全检测方法及系统 |
| CN106453267A (zh) * | 2016-09-21 | 2017-02-22 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种检测http参数污染漏洞的方法 |
| CN106453403A (zh) * | 2016-11-21 | 2017-02-22 | 国家电网公司 | 一种基于攻击链的漏洞整改顺序确定方法及系统 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107196955A (zh) * | 2017-06-15 | 2017-09-22 | 北京理工大学 | 基于漏洞关联性分析的网络系统主动防御方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110928782A (zh) * | 2019-11-20 | 2020-03-27 | 北京国舜科技股份有限公司 | 应用安全管理方法、装置、电子设备及存储介质 |
| CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN111147491B (zh) * | 2019-12-26 | 2022-11-22 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN111538994A (zh) * | 2020-04-20 | 2020-08-14 | 中科三清科技有限公司 | 一种系统安全检测及修复方法、装置、存储介质及终端 |
| CN113949572A (zh) * | 2021-10-18 | 2022-01-18 | 杭州安恒信息安全技术有限公司 | 一种数据处理的方法、装置及介质 |
| CN116502240A (zh) * | 2023-06-29 | 2023-07-28 | 北华航天工业学院 | 一种用于应用软件的安全漏洞的溯源分析方法 |
| CN116502240B (zh) * | 2023-06-29 | 2023-09-05 | 北华航天工业学院 | 一种用于应用软件的安全漏洞的溯源分析方法 |
| CN117014214A (zh) * | 2023-08-21 | 2023-11-07 | 中山市智牛电子有限公司 | 一种led显示屏的智能控制系统及控制方法 |
| CN117014214B (zh) * | 2023-08-21 | 2024-04-02 | 中山市智牛电子有限公司 | 一种led显示屏的智能控制系统及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109977673B (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10382525B2 (en) | Managing transmission and storage of sensitive data | |
| Akhawe et al. | Towards a formal foundation of web security | |
| CN109977673A (zh) | 一种基于web网站系统安全的漏洞修复方法及系统 | |
| CN105516208B (zh) | 一种有效防止网络攻击的web网站链接动态隐藏方法 | |
| Hassan et al. | Broken authentication and session management vulnerability: a case study of web application | |
| Atashzar et al. | A survey on web application vulnerabilities and countermeasures | |
| Shema | Seven deadliest web application attacks | |
| Chaudhari et al. | A survey on security and vulnerabilities of web application | |
| Lepofsky | The manager's guide to web application security: a concise guide to the weaker side of the web | |
| Avramescu et al. | Guidelines for discovering and improving application security | |
| Deshpande et al. | Major web application threats for data privacy & security–detection, analysis and mitigation strategies | |
| Krasniqi et al. | Vulnerability Assessment & Penetration Testing: Case study on web application security | |
| Alanazi et al. | The history of web application security risks | |
| Orucho et al. | Security threats affecting user-data on transit in mobile banking applications: A review | |
| Krishnaraj et al. | Common vulnerabilities in real world web applications | |
| Pannu | A survey on web application attacks | |
| Almi | Web Server Security and Survey on Web Application Security | |
| Gill et al. | Vulnerability Exploiter for Web Applications | |
| Haque et al. | Enhancement of web security against external attack | |
| Sharma et al. | Web based XSS and SQL attacks on cloud and mitigation | |
| Sethi et al. | ICTS2016-SS27-07: A Peek into Web Applications Security | |
| Alabdulrazzaq | Securing Web Applications: Web Application Flow Whitelisting to Improve Security | |
| De Ryck | Client-side web security: mitigating threats against web sessions | |
| Kushe | Security assessment of web applications | |
| Kela et al. | IMPLEMENTATION OF CYBER SECURITY ATTACKS AND STRATEGIC MITIGATION MECHANISMS. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |