CN110049055A - 业务漏洞防护方法、装置和系统 - Google Patents
业务漏洞防护方法、装置和系统 Download PDFInfo
- Publication number
- CN110049055A CN110049055A CN201910332882.4A CN201910332882A CN110049055A CN 110049055 A CN110049055 A CN 110049055A CN 201910332882 A CN201910332882 A CN 201910332882A CN 110049055 A CN110049055 A CN 110049055A
- Authority
- CN
- China
- Prior art keywords
- business
- loophole
- component
- guard assembly
- business loophole
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种业务漏洞防护方法、装置和系统,其中方法包括:若判断获知当前指令为数据库指令,则将当前指令输入至业务漏洞防护组件库,并获取业务漏洞防护组件库输出的验证结果;其中,业务漏洞防护组件库包括若干个业务漏洞防护组件;若验证结果为验证通过,则执行当前指令。本发明实施例提供的方法、装置和系统,通过业务漏洞防护组件库进行安全验证,降低了业务漏洞防护成本。且业务漏洞防护的实现质量问题也转嫁至业务漏洞防护组件,只要保证业务漏洞防护组件的标准化,即可保证业务漏洞防护的实现质量。由于组件的可移植特性,可通过现成的业务漏洞防护组件直接构建组件库,在保证防护质量的同时,进一步降低防护成本。
Description
技术领域
本发明涉及系统安全技术领域,尤其涉及一种业务漏洞防护方法、装置和系统。
背景技术
随着互联网在各行各业的普及和Web(全球广域网)应用的发展,网站尤其是网站数据库系统的安全性问题越来越受到人们的重视。
随着安全需求的提升,企业需要为旗下的Web应用及其数据库系统提供业务漏洞防护措施。通常,企业依赖内部开发人员自行开发业务漏洞防护系统,其成本投入极高。且在业务漏洞防护系统的开发过程,由于开发人员水平和安全意识参差不齐,业务漏洞防护的实现质量也难以保障。即便企业定期为开发人员提供业务漏洞防护相关的培训,也需要耗费大量的时间和人力,且培训效果未必能够满足当前的安全需求。
因此,如何实现标准化的业务漏洞防护解决方案,在保证业务漏洞防护质量的同时,使得企业开发人员能够全心投入业务代码的开发,仍然是系统安全技术领域亟待解决的问题。
发明内容
本发明实施例提供一种业务漏洞防护方法、装置和系统,用以解决现有的业务漏洞防护缺乏标准化系统,需要企业开发人员自行开发,费时费力、质量不佳的问题。
第一方面,本发明实施例提供一种业务漏洞防护方法,包括:
若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;
若所述验证结果为验证通过,则执行所述当前指令。
第二方面,本发明实施例提供一种业务漏洞防护装置,包括:
验证单元,用于若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;
执行单元,用于若所述验证结果为验证通过,则执行所述当前指令。
第三方面,本发明实施例提供一种业务漏洞防护系统,包括如第二方面所提供的业务漏洞防护装置,以及所述业务漏洞防护组件库;
所述业务漏洞防护装置中的所述验证单元与所述业务漏洞防护组件库连接。
第四方面,本发明实施例提供一种电子设备,包括处理器、通信接口、存储器和总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信,处理器可以调用存储器中的逻辑指令,以执行如第一方面所提供的方法的步骤。
第五方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
本发明实施例提供的一种业务漏洞防护方法、装置和系统,通过应用包括若干个业务漏洞防护组件的业务漏洞防护组件库进行安全验证,业务漏洞防护组件一次集成可无限复用,极大程度上减轻了Web应用开发人员的精力投入,降低了业务漏洞防护成本。且业务漏洞防护的实现质量问题也转嫁至业务漏洞防护组件,只要保证业务漏洞防护组件的标准化,即可保证业务漏洞防护的实现质量。此外,由于业务漏洞防护组件具备可移植的特性,可以通过现成的业务漏洞防护组件直接构建业务漏洞防护组件库,在保证业务漏洞防护质量的同时,进一步降低业务漏洞防护成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的业务漏洞防护方法的流程示意图;
图2为本发明实施例提供的业务漏洞防护装置的结构示意图;
图3为本发明实施例提供的业务漏洞防护系统的结构示意图;
图4为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着安全需求的提升,企业需要为旗下的Web应用及其数据库系统提供业务漏洞防护措施。然而自行开发业务漏洞防护系统,其成本投入极高,需要耗费大量的时间和人力,且业务漏洞防护的实现质量难以保障。对此,本发明实施例提供了一种业务漏洞防护方法,以实现标准化的业务漏洞防护。图1为本发明实施例提供的业务漏洞防护方法的流程示意图,如图1所示,该方法包括:
步骤110,若判断获知当前指令为数据库指令,则将当前指令输入至业务漏洞防护组件库,并获取业务漏洞防护组件库输出的验证结果;其中,业务漏洞防护组件库包括若干个业务漏洞防护组件。
具体地,本发明实施例提供的业务漏洞防护方法用于维护任意Web应用及其数据库系统的安全。此处,当前指令是指当前时刻Web应用在运行过程中发出的指令。在Web应用运行过程中,实时监控Web应用发出的指令,并将当前时刻Web应用发出的指令作为当前指令。
在得到当前指令后,需要判断当前指令是否为数据库指令。此处,数据库指令是指需要与Web应用中的数据库系统发生信息交互的指令,例如从数据库系统中获取数据,或者上传文件至数据库系统等,本发明实施例对此不作具体限定。
如果当前指令确定为数据库指令,则将当前指令输入至业务漏洞防护组件库中。此处,业务漏洞防护组件库为包含有若干个业务漏洞防护组件的组件库,每一业务漏洞防护组件均能够用于验证数据库指令是否安全。业务漏洞防护组件内封装有对数据库指令进行安全验证的方法,一次集成后可无限复用,极大程度上减轻了Web应用开发人员的精力投入。将当前指令输入业务漏洞防护组件库后,业务漏洞防护组件库中的业务漏洞防护组件对当前指令进行安全验证,并得到验证结果,验证结果为验证通过或验证不通过。此处的验证结果可以是业务漏洞防护组件库中的任一业务漏洞防护组件输出的结果,也可以是业务漏洞防护组件库中多个业务漏洞防护组件输出结果的集合,本发明实施例对比不作具体限定。
步骤120,若验证结果为验证通过,则执行当前指令。
具体地,在基于业务漏洞防护组件库获取验证结果后,对验证结果进行判断。如果当前指令对应的验证结果为验证通过,说明当前指令通过了业务漏洞防护组件库的安全验证,当前指令的执行不会给Web应用及其数据库系统带来安全问题,则执行当前指令。如果当前指令对应的验证结果为验证不通过,说明当前指令没有通过业务漏洞防护组件库的安全验证,当前指令的执行可能会给Web应用及其数据库系统带来安全问题,禁止执行当前指令。
本发明实施例提供的方法,通过应用包括若干个业务漏洞防护组件的业务漏洞防护组件库进行安全验证,业务漏洞防护组件一次集成可无限复用,极大程度上减轻了Web应用开发人员的精力投入,降低了业务漏洞防护成本。且业务漏洞防护的实现质量问题也转嫁至业务漏洞防护组件,只要保证业务漏洞防护组件的标准化,即可保证业务漏洞防护的实现质量。此外,由于业务漏洞防护组件具备可移植的特性,可以通过现成的业务漏洞防护组件直接构建业务漏洞防护组件库,在保证业务漏洞防护质量的同时,进一步降低业务漏洞防护成本。
基于上述实施例,该方法中,业务漏洞防护组件库包括攻击防护组件、业务功能安全组件和安全工具组件中的至少一种。
具体地,上述攻击防护组件、业务功能安全组件和安全工具组件均为业务漏洞防护组件。其中,攻击防护组件用于检测当前指令中是否携带攻击,例如当前指令是否携带扫描攻击、重放攻击等,若确定当前指令中携带攻击则输出验证结果为验证不通过,从而避免执行当前指令,实现攻击防护。业务功能安全组件用于检测在业务执行过程中执行当前指令是否合法,例如当前指令用于指示将待上传文件上传至数据库系统,业务功能安全组件则对待上传文件是否合法进行校验,或者当前指令用于指示订单付款完成,则业务功能安全组件对订单是否被篡改进行校验。安全工具组件用于为Web应用及其数据库系统的安全运行提供工具,例如实现生成随机数,信息加密等功能的工具。
基于上述任一实施例,该方法中,攻击防护组件包括防短信炸弹组件、防重放组件、防扫描组件、防直接对象引用组件、防越权访问组件、防SQL注入组件和防XSS跨站组件中的至少一种。
具体地,防短信炸弹组件用于实现不同场景下的防短信炸弹。此处场景可以是输入手机号码或者指定手机号码,例如注册或修改绑定手机,或者密码找回、接收验证码等场景。防短信炸弹的方法可以是增加图像验证码校验,并确保每一图形验证码只使用一次,还可以是限制访问间隔,或者限制总的次数,例如同一IP(Internet Protocol Address,互联网协议地址)10分钟内的请求次数不应大于200次,同一IP两次请求之间的时间间隔不应小于60s。
防重放组件用于防御重放攻击。防重放组件用于检测当前指令是否属于重放攻击。防重放的实现方式有多种,例如基于timestamp(时间戳)的方案,或者基于nonce(Number used once,仅一次有效的随机字符串)的方案,本发明实施例对此不作具体限定。
防扫描组件用于防御漏洞扫描类攻击。防扫描组件用于检测当前指令是否属于恶意扫描,从而阻断攻击者扫描,提升攻击的门槛。放扫描的实现方式有多种,例如通过暗链与扫描特征匹配结合来进行检测。首先,在防扫描组件初始化时配置暗链信息;其次,在进行防护时,防扫描组件对接收到的当前指令,即HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求进行检测,判断HTTL请求中的URL(Uniform Resource Locator,统一资源定位符)是否为暗链,如果是,则确认当前指令为扫描请求,否则进行扫描特征检测。在扫描特征检测过程中,检测HTTP请求的header字段、User-agent字段信息以及URL信息中是否包含扫描特征,如果包含扫描特征,则确认当前指令为扫描请求。
防直接对象引用组件用于防止不安全的对象被直接引用。例如在Web应用中,具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以尝试通过URL或网页直接访问其他资源,这就造成了不安全的对象直接引用的漏洞。防直接对象引用组件可以提供直接对象引用和间接对象引用之间的转换,通过直接对象引用生成间接对象引用,并能够通过间接对象引用返回直接对象引用,从而防止不安全的对象被直接引用。
防越权访问组件用于防止用户越权访问数据库系统。若当前指令为数据库系统访问指令,防越权访问组件可以通过获取当前指令中包含的用户ID(身份标识号),并根据预先设定的ID权限进行防越权检测。
防SQL注入组件用于防止SQL(Structured Query Language,结构化查询语言)注入。SQL注入是一种常见的网络攻击方式,通过SQL语句,实现无账号登录甚至篡改数据库系统。可以通过正则表达式过滤当前指令中的参数,或者进行字符串过滤,再或者通过JSP(Java Server Pages,JAVA服务器页面)验证当前指令中是否包含SQL注入攻击。
防XSS跨站组件用于防止XXS(Cascading Style Sheets,跨站脚本攻击)。XXS的防范可以通过过滤器过滤当前指令实现,还可以通过设置黑白名单对当前指令进行匹配,判断当前指令是否与攻击语句匹配,从而实现当前指令的校验。
本发明实施例提供的方法,通过设置攻击防护组件,能够有效抵御不同种类的攻击,为Web应用及其数据库系统提供安全可靠的运行环境。
基于上述任一实施例,业务功能安全组件包括文件安全上传组件、文件安全下载组件、密码找回组件、分步提交组件、数据脱敏组件和订单防篡改组件中的至少一种。
具体地,文件安全上传组件用于检验需要上传的文件是否安全。若当前指令用于指示上传文件至数据库系统,则文件安全上传组件用于检验当前指令中需要进行上传的文件是否安全。文件安全上传组件对待上传文件的安全性检验方法可以有多种,例如文件后缀校验、文件名校验、文件Byte(字节)头校验、上传路径校验、文件内容检测以及文件图片渲染中的任意一种或多种。其中,文件后缀校验可以对待上传文件的后缀名进行基于白名单方式的校验,仅支持默认或管理员设置的文件格式上传;文件名校验可以通过java提供的文件名规范,对待上传文件的文件名进行校验,判断文件名是否符合文件名规范;文件Byte头校验可以通过获取待上传文件的Byte数组头,即待上传文件的头部编码,获取待上传文件的真实类型,并判断待上传文件的真实类型与待上传文件的后缀是否一致,从而过滤改动文件后缀名产生的伪造文件;上传路径校验可以通过当前指令获取待上传文件的上传路径,进而判断上传路径是否在允许范围内;文件内容检测可以通过将待上传文件转换为16进制字符串,进而检测待上传文件中是否包含危险字符;文件图片渲染可以将待上传文件中包含的图片输入java提供的ImageIO进行渲染并重新输出。
文件安全下载组件用于检验是否有权限下载需要下载的文件,并防止当前指令对数据库系统进行目录遍历、越权下载和攻击等非法行为。文件安全下载组件对当前指令进行业务漏洞防护的方法有多种,例如对待下载文件的文件名进行验证,通过文件名规范对文件名进行攻击检测,防止目录遍历,还可以调用防越权组件,将直接对象引用改为间接引用。
密码找回组件用于提供密码找回流程,在当前指令指示找回密码时提供密码找回服务。密码找回服务的具体流程如下:首先获取账号信息,账号信息可以是邮箱、账号名或者手机号等;随后基于账号信息校验账号是否存在,如果账号存在则向账号绑定的邮箱或者手机号发送验证码,并校验用户输入的验证码,校验通过则跳转至密码修改流程。
分步提交组件用于实现分步骤的流程管控,基于当前指令校验步骤是否合法,再得出是否需要跳转至下一步骤的结论,从而避免非法的步骤跳转。分布提交可以通过如下方法实现:分布提交组件初始化时,调用预先设定的分布执行流程,并确定状态模式为可回滚或不可回滚;随即基于当前指令校验步骤是否合法,若合法则跳转至下一步骤,否则不进行步骤跳转。
数据脱敏组件用于调用脱敏方法,对当前指令中敏感信息进行变形,从而实现敏感隐私信息的可靠保护。数据脱敏可以通过K-Anonymity、L-Diversity和T-Closeness等算法实现。
订单防篡改组件用于防止用户篡改订单。若当前指令为订单请求,订单防篡改组件根据订单请求生成订单签名,在用户完成支付后,若当前指令为用户支付完成信息,则从用户支付完成信息中获取订单签名并对订单签名进行校验,若校验未通过则说明订单可能被篡改。
本发明实施例提供的方法,通过设置业务功能安全组件,能够从各个角度检测在业务执行过程中执行当前指令是否合法,从而提高当前指令执行的安全性。
基于上述任一实施例,安全工具组件包括cookie保护组件、密码加密组件、随机数字生成器组件、随机字符串生成器组件、业务安全日志组件和编码组件中的至少一种。
具体地,cookie保护组件用于保护存储在用户本地终端上的数据,即cookie。cookie保护可以通过定期清理cookie、使用双重验证、增加防篡改验证码等方式实现,本发明实施例对此不作具体限定。
密码加密组件用于实现安全的加解密算法。此处,加解密算法可以是MD5算法、SHA1算法、HMAC算法或DES算法等,本发明实施例对此不作具体限定。
随机数字生成器组件、随机字符串生成器组件分别用于生成随机数字和随机字符串。编码组件用于提供多种编码支持和编码还原。
业务安全日志组件是一种日志记录组件,业务安全日志组件在具备日志记录功能的同时,还具备防日志注入攻击、日志截断攻击的能力。
本发明实施例提供的方法,通过设置安全工具组件,为攻击防护组件和业务功能安全组件乃至Web应用提供相关功能的支持,进一步提高Web应用及其数据库系统的安全性能。
基于上述任一实施例,该方法中,步骤110具体包括:若判断获知当前指令为数据库指令,则将当前指令输入至接口服务组件,以使得接口服务组件能够将当前指令输入至业务漏洞防护组件库,获取业务漏洞防护组件库输出的验证结果并返回;接收接口服务组件返回的验证结果。
具体地,当业务漏洞防护组件库直接嵌入Web应用时,可以直接将当前指令输入至业务漏洞防护组件库中。当业务漏洞防护组件库设置在服务器端,或者业务漏洞防护组件库中的业务漏洞防护组件部分嵌入Web应用,部分设置在服务器端时,需要在Web应用中设置接口服务组件。接口服务组件用于调用业务漏洞防护组件库,进一步地,接口服务组件可用于本地调用或远程调用业务漏洞防护组件库。
若判断获知当前指令为数据库指令,则将当前指令输入至接口服务组件,接口服务组件在检测到当前指令后,调用业务漏洞防护组件库,通过业务漏洞防护组件库实现当前指令的安全验证,并获取业务漏洞防护组件库输出的验证结果。
接口服务组件在得到验证结果后,返回验证结果,使得Web应用能够基于验证结果判断是否执行当前指令。
本发明实施例提供的方法,通过设置接口服务组件,实现了业务漏洞防护组件库的调用,屏蔽了本地调用和远程调用的差异。
基于上述任一实施例,图2为本发明实施例提供的业务漏洞防护装置的结构示意图,如图2所示,该装置包括验证单元210和执行单元220;
验证单元210用于若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;
执行单元220用于若所述验证结果为验证通过,则执行所述当前指令。
本发明实施例提供的装置,通过应用包括若干个业务漏洞防护组件的业务漏洞防护组件库进行安全验证,业务漏洞防护组件一次集成可无限复用,极大程度上减轻了Web应用开发人员的精力投入,降低了业务漏洞防护成本。且业务漏洞防护的实现质量问题也转嫁至业务漏洞防护组件,只要保证业务漏洞防护组件的标准化,即可保证业务漏洞防护的实现质量。此外,由于业务漏洞防护组件具备可移植的特性,可以通过现成的业务漏洞防护组件直接构建业务漏洞防护组件库,在保证业务漏洞防护质量的同时,进一步降低业务漏洞防护成本。
基于上述任一实施例,该装置中,所述业务漏洞防护组件库包括攻击防护组件、业务功能安全组件和安全工具组件中的至少一种。
基于上述任一实施例,该装置中,所述攻击防护组件包括防短信炸弹组件、防重放组件、防扫描组件、防直接对象引用组件、防越权访问组件、防SQL注入组件和防XSS跨站组件中的至少一种。
基于上述任一实施例,该装置中,所述业务功能安全组件包括文件安全上传组件、文件安全下载组件、密码找回组件、分步提交组件、数据脱敏组件和订单防篡改组件中的至少一种。
基于上述任一实施例,该装置中,所述安全工具组件包括cookie保护组件、密码加密组件、随机数字生成器组件、随机字符串生成器组件、业务安全日志组件和编码组件中的至少一种。
基于上述任一实施例,该装置中,验证单元210具体用于:
所述若判断获知当前指令为数据库指令,则将所述当前指令输入至接口服务组件,以使得所述接口服务组件能够将所述当前指令输入至所述业务漏洞防护组件库,获取所述业务漏洞防护组件库输出的所述验证结果并返回;
接收所述接口服务组件返回的所述验证结果。
基于上述任一实施例,图3为本发明实施例提供的业务漏洞防护系统的结构示意图,如图3所示,该系统包括业务漏洞防护装置310,以及业务漏洞防护组件库320;业务漏洞防护装置310中的验证单元210与业务漏洞防护组件库320连接。
具体地,业务漏洞防护装置310包括验证单元210和执行单元220,其中验证单元210用于若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库320。业务漏洞防护组件库320在接收到验证单元210输入的当前指令后,对当前指令进行安全验证,并输出验证结果。随后验证单元210获取业务漏洞防护组件库320输出的验证结果。执行单元220用于若验证结果为验证通过,则执行当前指令。
本发明实施例提供的系统,通过应用包括若干个业务漏洞防护组件的业务漏洞防护组件库进行安全验证,业务漏洞防护组件一次集成可无限复用,极大程度上减轻了Web应用开发人员的精力投入,降低了业务漏洞防护成本。且业务漏洞防护的实现质量问题也转嫁至业务漏洞防护组件,只要保证业务漏洞防护组件的标准化,即可保证业务漏洞防护的实现质量。此外,由于业务漏洞防护组件具备可移植的特性,可以通过现成的业务漏洞防护组件直接构建业务漏洞防护组件库,在保证业务漏洞防护质量的同时,进一步降低业务漏洞防护成本。
基于上述任一实施例,该系统还包括接口服务组件;验证单元通过接口服务组件与业务漏洞防护组件库连接。
具体地,接口服务组件用于调用业务漏洞防护组件库。若验证单元若判断获知当前指令为数据库指令,则将当前指令输入至接口服务组件,接口服务组件在检测到当前指令后,调用业务漏洞防护组件库,通过业务漏洞防护组件库实现当前指令的安全验证,并获取业务漏洞防护组件库输出的验证结果。接口服务组件在得到验证结果后,将验证结果返回中验证单元,使得Web应用能够基于验证结果判断是否执行当前指令。
本发明实施例提供的系统,通过设置接口服务组件,实现了业务漏洞防护组件库的调用,屏蔽了本地调用和远程调用的差异。
图4为本发明实施例提供的电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)401、通信接口(Communications Interface)402、存储器(memory)403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储在存储器403上并可在处理器401上运行的计算机程序,以执行上述各实施例提供的业务漏洞防护方法,例如包括:若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;若所述验证结果为验证通过,则执行所述当前指令。
此外,上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的业务漏洞防护方法,例如包括:若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;若所述验证结果为验证通过,则执行所述当前指令。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种业务漏洞防护方法,其特征在于,包括:
若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;
若所述验证结果为验证通过,则执行所述当前指令。
2.根据权利要求1所述的业务漏洞防护方法,其特征在于,所述业务漏洞防护组件库包括攻击防护组件、业务功能安全组件和安全工具组件中的至少一种。
3.根据权利要求2所述的业务漏洞防护方法,其特征在于,所述攻击防护组件包括防短信炸弹组件、防重放组件、防扫描组件、防直接对象引用组件、防越权访问组件、防SQL注入组件和防XSS跨站组件中的至少一种。
4.根据权利要求2所述的业务漏洞防护方法,其特征在于,所述业务功能安全组件包括文件安全上传组件、文件安全下载组件、密码找回组件、分步提交组件、数据脱敏组件和订单防篡改组件中的至少一种。
5.根据权利要求2所述的业务漏洞防护方法,其特征在于,所述安全工具组件包括cookie保护组件、密码加密组件、随机数字生成器组件、随机字符串生成器组件、业务安全日志组件和编码组件中的至少一种。
6.根据权利要求1至5中任一项所述的业务漏洞防护方法,其特征在于,所述若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果,具体包括:
若判断获知当前指令为数据库指令,则将所述当前指令输入至接口服务组件,以使得所述接口服务组件能够将所述当前指令输入至所述业务漏洞防护组件库,获取所述业务漏洞防护组件库输出的所述验证结果并返回;
接收所述接口服务组件返回的所述验证结果。
7.一种业务漏洞防护装置,其特征在于,包括:
验证单元,用于若判断获知当前指令为数据库指令,则将所述当前指令输入至业务漏洞防护组件库,并获取所述业务漏洞防护组件库输出的验证结果;其中,所述业务漏洞防护组件库包括若干个业务漏洞防护组件;
执行单元,用于若所述验证结果为验证通过,则执行所述当前指令。
8.一种业务漏洞防护系统,其特征在于,包括如权利要求7所述的业务漏洞防护装置,以及所述业务漏洞防护组件库;
所述业务漏洞防护装置中的所述验证单元与所述业务漏洞防护组件库连接。
9.根据权利要求8所述的业务漏洞防护系统,其特征在于,还包括接口服务组件;
所述验证单元通过所述接口服务组件与所述业务漏洞防护组件库连接。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述业务漏洞防护方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910332882.4A CN110049055A (zh) | 2019-04-24 | 2019-04-24 | 业务漏洞防护方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910332882.4A CN110049055A (zh) | 2019-04-24 | 2019-04-24 | 业务漏洞防护方法、装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110049055A true CN110049055A (zh) | 2019-07-23 |
Family
ID=67278924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910332882.4A Pending CN110049055A (zh) | 2019-04-24 | 2019-04-24 | 业务漏洞防护方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110049055A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110968872A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 文件漏洞的检测处理方法、装置、电子设备及存储介质 |
CN117651277A (zh) * | 2024-01-30 | 2024-03-05 | 北京国舜科技股份有限公司 | 一种基于安全组件的短信炸弹防护方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457957A (zh) * | 2013-09-17 | 2013-12-18 | 北京信息科技大学 | 一种具有自适应功能的网络渗透测试系统及方法 |
CN104462983A (zh) * | 2013-09-22 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 一种php源代码处理方法及系统 |
US20150128281A1 (en) * | 2012-07-25 | 2015-05-07 | Sasi Siddharth Muthurajan | Determining application vulnerabilities |
CN106874768A (zh) * | 2016-12-30 | 2017-06-20 | 北京瑞卓喜投科技发展有限公司 | 渗透测试的方法及装置 |
-
2019
- 2019-04-24 CN CN201910332882.4A patent/CN110049055A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150128281A1 (en) * | 2012-07-25 | 2015-05-07 | Sasi Siddharth Muthurajan | Determining application vulnerabilities |
CN103457957A (zh) * | 2013-09-17 | 2013-12-18 | 北京信息科技大学 | 一种具有自适应功能的网络渗透测试系统及方法 |
CN104462983A (zh) * | 2013-09-22 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 一种php源代码处理方法及系统 |
CN106874768A (zh) * | 2016-12-30 | 2017-06-20 | 北京瑞卓喜投科技发展有限公司 | 渗透测试的方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110968872A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 文件漏洞的检测处理方法、装置、电子设备及存储介质 |
CN117651277A (zh) * | 2024-01-30 | 2024-03-05 | 北京国舜科技股份有限公司 | 一种基于安全组件的短信炸弹防护方法和装置 |
CN117651277B (zh) * | 2024-01-30 | 2024-05-03 | 北京国舜科技股份有限公司 | 一种基于安全组件的短信炸弹防护方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9584543B2 (en) | Method and system for web integrity validator | |
Cohen | Information system attacks: A preliminary classification scheme | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
Li et al. | A survey on web application security | |
CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
CN112149123B (zh) | 一种应用程序的安全检查系统及方法 | |
Gupta et al. | Taxonomy of cloud security | |
Cao et al. | Protecting web-based single sign-on protocols against relying party impersonation attacks through a dedicated bi-directional authenticated secure channel | |
Likaj et al. | Where we stand (or fall): An analysis of CSRF defenses in web frameworks | |
Toreini et al. | DOMtegrity: ensuring web page integrity against malicious browser extensions | |
Park et al. | An enhanced smartphone security model based on information security management system (ISMS) | |
Fan et al. | Ruledger: Ensuring execution integrity in trigger-action IoT platforms | |
CN110049055A (zh) | 业务漏洞防护方法、装置和系统 | |
Dua et al. | Detection & prevention of website vulnerabilities: Current scenario and future trends | |
Chughtai et al. | Deep learning trends and future perspectives of web security and vulnerabilities | |
Perumal et al. | Cybercrime issues in smart cities networks and prevention using ethical hacking | |
Bhatt | Cyber security risks for modern web applications: case study paper for developers and security testers | |
Sharma et al. | Smartphone security and forensic analysis | |
Kujo | Implementing Zero Trust Architecture for Identities and Endpoints with Microsoft tools | |
Al-Wosabi et al. | Framework for software tampering detection in embedded systems | |
Yasmeen et al. | The critical analysis of E-Commerce web application vulnerabilities | |
Zaidan et al. | Website Vulnerability Analysis of AB and XY Office in East Java | |
Gottipati | A proposed cybersecurity model for cryptocurrency exchanges | |
Madan et al. | Shielding against sql injection attacks using admire model | |
Elrom et al. | Security and compliance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190723 |