CN110417796A - 一种客户端请求处理方法、装置、设备及可读存储介质 - Google Patents
一种客户端请求处理方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110417796A CN110417796A CN201910717188.4A CN201910717188A CN110417796A CN 110417796 A CN110417796 A CN 110417796A CN 201910717188 A CN201910717188 A CN 201910717188A CN 110417796 A CN110417796 A CN 110417796A
- Authority
- CN
- China
- Prior art keywords
- parameter
- client request
- splicing
- obtains
- target component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种客户端请求处理方法,包括:获取客户端请求;客户端请求包括目标参数和验证参数;将目标参数和预设密钥进行拼接加密,得到安全参数;判断安全参数与验证参数是否一致;若是,则执行客户端请求;若否,则确定出现SSRF攻击,不执行客户端请求;本方法通过对各个客户端请求进行验证,执行通过验证的客户端请求,不执行未通过验证的客户端请求,以此来达到完全防御SSRF攻击的效果;此外,本发明还提供了一种客户端请求处理装置、设备及计算机可读存储介质,同样具有上述有益效果。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种客户端请求处理方法、装置、设备及计算机可读存储介质。
背景技术
目前,很多web应用服务器都提供了从其他的服务器上获取数据的功能。比如,用户输入一个URL,web应用服务器可以根据该URL获取图片,下载文件,读取文件内容等。
但是,这个功能如果被恶意使用,攻击者可以利用存在漏洞的web应用服务器作为代理,攻击远程或者本地的服务器。这种形式的攻击称为服务端请求伪造(Server-sideRequest Forgery,SSRF)攻击。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。当web应用服务器提供的这些功能未对提交的URL参数值做严格的限制,如请求协议限制、内外访问限制等,攻击者很可能会利用web应用服务器的这种缺陷,突破外网无法访问内网的限制,探测内网架构、进而攻击内网中的脆弱系统等。现有技术中,通过设立黑名单可以防御部分SSRF攻击,但是黑名单存在大量已知和未知的被绕过方法,无法完全防御SSRF攻击。
因此,如何解决无法完全防御SSRF攻击的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种客户端请求处理方法、装置、设备及计算机可读存储介质,解决了现有技术无法完全防御SSRF攻击的问题。
为解决上述技术问题,本发明提供了一种客户端请求处理方法,包括:
获取客户端请求;所述客户端请求包括目标参数和验证参数;
将所述目标参数和预设密钥进行拼接加密,得到安全参数;
判断所述安全参数与所述验证参数是否一致;
若是,则执行所述客户端请求;
若否,则确定出现SSRF攻击,不执行所述客户端请求。
可选的,将所述目标参数和预设密钥进行拼接加密,得到安全参数,包括:
对所述目标参数进行UrlEncode编码,得到编码参数;
将所述预设密钥和所述编码参数按照预设拼接规则进行拼接,得到拼接参数;
对所述拼接参数进行编码加密处理,得到所述安全参数。
可选的,对所述拼接参数进行编码加密处理,得到所述安全参数,包括:
对所述拼接参数进行编码处理,得到编码字符串;
对所述编码字符串进行不可逆加密处理,得到所述安全参数。
可选的,在获取所述客户端请求中的目标参数和验证参数之后,在利用所述目标参数和预设密钥进行计算之前,还包括:
判断所述验证参数是否为空参数;
若否,则执行利用所述目标参数和预设密钥进行计算,得到安全参数的步骤;
若是,则确定出现SSRF攻击,不执行所述客户端请求。
本发明还提供了一种客户端请求处理装置,包括:
参数获取模块,用于获取客户端请求;所述客户端请求包括目标参数和验证参数;
拼接加密模块,用于将所述目标参数和预设密钥进行拼接加密,得到安全参数;
判断模块,用于判断所述安全参数与所述验证参数是否一致;
执行模块,用于若所述安全参数与所述验证参数一致,则执行所述客户端请求;
防御模块,用于若所述安全参数与所述验证参数不一致,则确定出现SSRF攻击,不执行所述客户端请求。
可选的,所述计算模块,包括:
编码参数获取单元,用于对所述目标参数进行Urlcode编码,得到编码参数;
拼接参数获取单元,用于将所述预设密钥和所述编码参数进行拼接,得到拼接参数;
加密单元,用于对所述拼接参数进行编码加密处理,得到所述安全参数。
可选的,所述加密单元,包括:
编码字符串获取子单元,用于对所述拼接参数进行编码处理,得到编码字符串;
不可逆加密子单元,用于对所述编码字符串进行不可逆加密处理,得到所述安全参数。
可选的,还包括:
空参数判断模块,用于判断所述验证参数是否为空参数;
相应地,所述拼接加密模块,用于当所述验证参数不为空参数时,利用所述目标参数和预设密钥进行计算,得到安全参数;
相应地,所述防御模块,用于当所述验证参数为空参数时,确定出现SSRF攻击,不执行所述客户端请求。
本发明还提供了一种客户端请求处理设备,包括存储器和处理器,其中:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的客户端请求处理方法。
本发明还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的客户端请求处理方法。
可见,本方法获取客户端请求;客户端请求包括目标参数和验证参数。将目标参数和预设密钥进行拼接加密,得到安全参数。判断安全参数与验证参数是否一致。若是,则执行客户端请求。若否,则确定出现SSRF攻击,不执行客户端请求。攻击者发起SSRF攻击时,需要将客户端请求中的合法目标参数进行更改,或者将客户端请求中的合法验证参数进行更改。本方法通过对各个客户端请求进行验证,确定通过验证的客户端请求均为合法的客户端请求,执行通过验证的客户端请求。确定未通过验证的客户端请求为是SSRF攻击,不执行未通过验证的客户端请求,以此来达到完全防御SSRF攻击的效果。
此外,本发明还提供了一种客户端请求处理装置、设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种客户端请求处理方法流程图;
图2为本发明实施例提供的另一种客户端请求处理方法流程图;
图3为本发明实施例提供的一种客户端请求处理装置的结构示意图;
图4为本发明实施例提供的一种客户端请求处理设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本发明实施例提供的一种客户端请求处理方法流程图。该方法包括:
S101:获取客户端请求;客户端请求包括目标参数和验证参数。
本实施例中,客户端请求不仅包含目标参数和验证参数,还可以包含其他内容,例如客户端请求的具体内容。具体的,本实施例中设置有预设秘钥,预设秘钥被提前设置好,用来对客户端请求是否合法进行验证。本实施例并不限定预设秘钥的具体内容,其内容越复杂、越无规律,越不容易被破解,进而对SSRF攻击的防御效果越好。利用设置好的预设秘钥和服务器网站中允许访问的各个URL,即合法目标参数,获取与目标参数对应的合法验证参数。具体的获取方法与获取客户端请求后进行验证方法相同。在获取了合法验证参数后,将合法目标参数和合法验证参数公布,以便客户端在发出客户端请求时调用。本实施例并不限定合法目标参数的具体内容,可以根据具体情况进行设置,本实施例也不限定合法验证参数的具体内容,根据合法目标参数和验证方法中的编码方式的变化,合法验证参数也会发生变化。本实施例不限定服务器网站为具体哪个网站。在获取到客户端请求后,读取客户端中的目标参数和验证参数。
S102:将目标参数和预设密钥进行拼接加密,得到安全参数。
本实施例中,设置有预设拼接规则。预设拼接规则被提前设置好,用来将目标参数和预设秘钥进行拼接,以便进行下一步验证。在拼接后,再进行加密处理,可以得到安全参数。本实施例并不限定安全法参数的具体内容和形式。
S103:判断安全参数与验证参数是否一致。
将安全参数与验证参数进行对比,判断是否一致。若一致,则执行客户端请求,即进入步骤S104。若不一致,则确定出现SSRF攻击,不执行客户端请求,即进入步骤S105。
S104:执行客户端请求。
当安全参数与验证参数一致时,认为该客户端请求为合法的客户端请求,故执行该客户端请求。
S105:确定出现SSRF攻击,不执行客户端请求。
当安全参数与验证参数不一致时,说明该客户端请求的目标参数或验证参数不合法,即该客户端请求为攻击者发出的不合法请求,确定出现SSRF攻击,故不执行该客户端请求。
应用本发明实施例提供的客户端请求处理方法,获取客户端请求;客户端请求包括目标参数和验证参数。将目标参数和预设密钥进行拼接加密,得到安全参数。判断安全参数与验证参数是否一致。若是,则执行客户端请求。若否,则确定出现SSRF攻击,不执行客户端请求。攻击者发起SSRF攻击时,需要将客户端请求中的合法目标参数进行更改,或者将客户端请求中的合法验证参数进行更改。本方法通过对各个客户端请求进行验证,确定通过验证的客户端请求均为合法的客户端请求,执行通过验证的客户端请求。确定未通过验证的客户端请求为是SSRF攻击,不执行未通过验证的客户端请求,以此来达到完全防御SSRF攻击的效果。
实施例二:
在实际应用中,会出现验证参数为空的情况。当验证参数为空参数时,无需进行验证也可以确定该客户端请求为不合法请求。因此基于实施例一,本实施例在对目标参数和预设秘钥进行拼接加密之前,加入了判断验证参数是否为空参数的步骤,这样可以快速对验证参数为空参数的客户端请求进行判断,减少验证计算次数,进而提高对客户端请求的处理速度。具体情况参考图2,图2为本发明实施例提供的另一种客户端请求处理方法流程图,包括:
S201:获取客户端请求;客户端请求包括目标参数和验证参数。
本实施例中,服务器网站可以为http://www.xxx.com。该服务器网站提供了一个访问http://www.baidu.com/C语言.jpg的功能。当客户端请求为访问http://www.baidu.com/C语言.jpg时,则将http://www.baidu.com/C语言.jpg设置为目标参数。本实施例中,可以用testurl表示目标参数,即testurl=http://www.baidu.com/C语言.jpg。
为了实现对SSRF攻击的完全防御,要保证预设秘钥不泄露,且预设秘钥越复杂越好。本实施例中,将预设秘钥设置为#Nd0sOBw26XiuV4J,可以用appkey表示预设秘钥,即appkey=#Nd0sOBw26XiuV4J。
S202:判断验证参数是否为空参数。
本实施例中,空参数可以有多种形式,例如客户端请求中可以没有验证参数;或者客户端中的验证参数为0;或者客户端请求中的验证参数不符合合法验证参数格式,例如验证参数位数不等于合法验证参数格式的位数。若验证参数不为空参数,则进入步骤S203;若验证参数为空参数,则确定出现SSRF攻击,不执行客户端请求,即进入步骤S209。
S203:对目标参数进行UrlEncode编码,得到编码参数。
具体的,UrlEncode编码是将字符串以URL编码的编码方式,主要为了解决url中的中文乱码问题。本实施例中,将http://www.baidu.com/C语言.jpg进行UrlEncode编码后得http://www.baidu.com/C%E8%AF%AD%E8%A8%80.jpg,即编码参数为http://www.baidu.com/C%E8%AF%AD%E8%A8%80.jpg。
S204:将预设秘钥和编码参数按照预设拼接规则进行拼接,得到拼接参数。
本实施例并不限定预设拼接规则的具体内容,例如可以为编码参数在前,预设秘钥在后进行拼接;或者可以为预设秘钥在前,编码参数在后进行拼接;或者对预设秘钥或编码参数进行拆分,将拆分后的字段进行拼接。拼接规则越复杂,越不容易被攻击者破解,进而对SSRF攻击的防御效果越好。本实施例中,按照编码参数在前,预设秘钥在后的拼接方式进行拼接,可以得到拼接参数。得到的拼接参数为http://www.baidu.com/C%E8%AF%AD%E8%A8%80.jpg#Nd0sOBw26XiuV4J。
S205:对拼接参数进行编码处理,得到编码字符串。
本实施例并不限定编码处理具体采用哪一种编码方式。优选的,采用base64对拼接参数进行编码处理,以得到编码字符串。即对http://www.baidu.com/C%E8%AF%AD%E8%A8%80.jpg#Nd0sOBw26XiuV4J进行base64编码,得到的编码字符串为aHR0cDovL3d3dy5iYWlkdS5jb20vQyVFOCVBRiVBRCVFOCVBOCU4MC5qcGcjTmQwc09CdzI2WGl1VjRK。
S206:对编码字符串进行不可逆加密处理,得到安全参数。
本实施例并不限定不可逆加密处理时采用哪一种加密方法,优选的,采用MD5加密算法对编码字符串进行不可逆加密处理,得到安全参数。即对aHR0cDovL3d3dy5iYWlkdS5jb20vQyVFOCVBRiVBRCVFOCVBOCU4MC5qcGcjTmQwc09CdzI2WGl1VjRK进行MD5加密,得到安全参数为e982de6e304417c56da793646e4abc5a。本实施例中,用signB表示安全参数,故signB=e982de6e304417c56da793646e4abc5a。
S207:判断安全参数与验证参数是否一致。
本实施例中,用signA表示验证参数。当客户端请求为http://www.xxx.com/fetch.php?testurl=http://www.baidu.com/C语言.jpg&signA=e982de6e304417c56da793646e4abc5a时,即安全参数signB与验证参数signA一致时,确定该客户端请求为合法请求,故执行该客户端请求,即进入步骤S208。当安全参数signB与验证参数signA不一致时,确定出现SSRF攻击,故不执行客户端请求,即进入步骤S209。
S208:执行客户端请求。
当安全参数与验证参数一致时,认为该客户端请求为合法的客户端请求,故执行该客户端请求。
S209:确定出现SSRF攻击,不执行客户端请求。
当安全参数与验证参数不一致时,认为该客户端请求的目标参数或验证参数被攻击者篡改,该客户端请求为攻击者发出的不合法请求,确定出现SSRF攻击,故不执行该客户端请求。
应用本发明实施例提供的客户端请求处理方法,对目标参数和预设秘钥进行拼接加密之前,加入了判断验证参数是否为空参数的步骤,这样可以快速对验证参数为空参数的客户端请求进行判断,减少验证计算次数,进而提高对客户端请求的处理速度。
实施例三:
下面对本发明实施例提供的客户端请求处理装置进行介绍,下文描述的客户端请求处理装置与上文描述的客户端请求处理方法可相互对应参照。
请参考图3,图3为本发明实施例提供的一种客户端请求处理装置的结构示意图,包括:
参数获取模块100,用于获取客户端请求;客户端请求包括目标参数和验证参数;
拼接加密模块200,用于将目标参数和预设密钥进行拼接加密,得到安全参数;
判断模块300,用于判断安全参数与验证参数是否一致;
执行模块400,用于若安全参数与验证参数一致,则执行客户端请求;
防御模块500,用于若安全参数与验证参数不一致,则确定出现SSRF攻击,不执行客户端请求。
应用本发明实施例提供的客户端请求处理装置,获取客户端请求;客户端请求包括目标参数和验证参数。将目标参数和预设密钥进行拼接加密,得到安全参数。判断安全参数与验证参数是否一致。若是,则执行客户端请求。若否,则确定出现SSRF攻击,不执行客户端请求。攻击者发起SSRF攻击时,需要将客户端请求中的合法目标参数进行更改,或者将客户端请求中的合法验证参数进行更改。本装置通过对各个客户端请求进行验证,确定通过验证的客户端请求均为合法的客户端请求,执行通过验证的客户端请求。确定未通过验证的客户端请求为是SSRF攻击,不执行未通过验证的客户端请求,以此来达到完全防御SSRF攻击的效果。
可选的,拼接加密模块200,包括:
编码参数获取单元,用于对目标参数进行Urlcode编码,得到编码参数;
拼接参数获取单元,用于将预设密钥和编码参数进行拼接,得到拼接参数;
加密单元,用于对拼接参数进行编码加密处理,得到安全参数。
可选的,加密单元,包括:
编码字符串获取子单元,用于对拼接参数进行编码处理,得到编码字符串;
不可逆加密子单元,用于对编码字符串进行不可逆加密处理,得到安全参数。
可选的,还包括:
空参数判断模块,用于判断验证参数是否为空参数;
相应地,拼接加密模块,用于当验证参数不为空参数时,利用目标参数和预设密钥进行计算,得到安全参数;
相应地,防御模块,用于当验证参数为空参数时,确定出现SSRF攻击,不执行客户端请求。
实施例四:
下面对本发明实施例提供的客户端请求处理设备进行介绍,下文描述的客户端请求处理设备与上文描述的客户端请求处理方法可相互对应参照。
请参考图4,图4为本发明实施例所提供的一种客户端请求处理设备的结构示意图,该客户端请求处理设备包括存储器和处理器,其中:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序,以实现上述的客户端请求处理方法。
实施例五:
下面对本发明实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的客户端请求处理方法可相互对应参照。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的客户端请求处理方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的客户端请求处理方法、装置、设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种客户端请求处理方法,其特征在于,包括:
获取客户端请求;所述客户端请求包括目标参数和验证参数;
将所述目标参数和预设密钥进行拼接加密,得到安全参数;
判断所述安全参数与所述验证参数是否一致;
若是,则执行所述客户端请求;
若否,则确定出现SSRF攻击,不执行所述客户端请求。
2.根据权利要求1所述的客户端请求处理方法,其特征在于,将所述目标参数和预设密钥进行拼接加密,得到安全参数,包括:
对所述目标参数进行UrlEncode编码,得到编码参数;
将所述预设密钥和所述编码参数按照预设拼接规则进行拼接,得到拼接参数;
对所述拼接参数进行编码加密处理,得到所述安全参数。
3.根据权利要求2所述的客户端请求处理方法,其特征在于,对所述拼接参数进行编码加密处理,得到所述安全参数,包括:
对所述拼接参数进行编码处理,得到编码字符串;
对所述编码字符串进行不可逆加密处理,得到所述安全参数。
4.根据权利要求1所述的客户端请求处理方法,其特征在于,在获取所述客户端请求中的目标参数和验证参数之后,在利用所述目标参数和预设密钥进行计算之前,还包括:
判断所述验证参数是否为空参数;
若否,则执行利用所述目标参数和预设密钥进行计算,得到安全参数的步骤;
若是,则确定出现SSRF攻击,不执行所述客户端请求。
5.一种客户端请求处理装置,其特征在于,包括:
参数获取模块,用于获取客户端请求;所述客户端请求包括目标参数和验证参数;
拼接加密模块,用于将所述目标参数和预设密钥进行拼接加密,得到安全参数;
判断模块,用于判断所述安全参数与所述验证参数是否一致;
执行模块,用于若所述安全参数与所述验证参数一致,则执行所述客户端请求;
防御模块,用于若所述安全参数与所述验证参数不一致,则确定出现SSRF攻击,不执行所述客户端请求。
6.根据权利要求5所述的客户端请求处理装置,其特征在于,所述拼接加密模块,包括:
编码参数获取单元,用于对所述目标参数进行Urlcode编码,得到编码参数;
拼接参数获取单元,用于将所述预设密钥和所述编码参数进行拼接,得到拼接参数;
加密单元,用于对所述拼接参数进行编码加密处理,得到所述安全参数。
7.根据权利要求6所述的客户端请求处理装置,其特征在于,所述加密单元,包括:
编码字符串获取子单元,用于对所述拼接参数进行编码处理,得到编码字符串;
不可逆加密子单元,用于对所述编码字符串进行不可逆加密处理,得到所述安全参数。
8.根据权利要求6所述的客户端请求处理装置,其特征在于,还包括:
空参数判断模块,用于判断所述验证参数是否为空参数;
相应地,所述拼接加密模块,用于当所述验证参数不为空参数时,利用所述目标参数和预设密钥进行计算,得到安全参数;
相应地,所述防御模块,用于当所述验证参数为空参数时,确定出现SSRF攻击,不执行所述客户端请求。
9.一种客户端请求处理设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至4任一项所述的客户端请求处理方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的客户端请求处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910717188.4A CN110417796A (zh) | 2019-08-05 | 2019-08-05 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910717188.4A CN110417796A (zh) | 2019-08-05 | 2019-08-05 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110417796A true CN110417796A (zh) | 2019-11-05 |
Family
ID=68365812
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910717188.4A Pending CN110417796A (zh) | 2019-08-05 | 2019-08-05 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110417796A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306473A (zh) * | 2015-11-05 | 2016-02-03 | 北京奇虎科技有限公司 | 一种防止注入攻击的方法、客户端、服务器和系统 |
US20170034190A1 (en) * | 2015-07-31 | 2017-02-02 | Fortinet, Inc. | Providing security in a communication network |
CN107347076A (zh) * | 2017-08-23 | 2017-11-14 | 杭州安恒信息技术有限公司 | Ssrf漏洞的检测方法及装置 |
CN107846407A (zh) * | 2017-11-10 | 2018-03-27 | 郑州云海信息技术有限公司 | 一种批量检测ssrf漏洞的方法及系统 |
-
2019
- 2019-08-05 CN CN201910717188.4A patent/CN110417796A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170034190A1 (en) * | 2015-07-31 | 2017-02-02 | Fortinet, Inc. | Providing security in a communication network |
CN105306473A (zh) * | 2015-11-05 | 2016-02-03 | 北京奇虎科技有限公司 | 一种防止注入攻击的方法、客户端、服务器和系统 |
CN107347076A (zh) * | 2017-08-23 | 2017-11-14 | 杭州安恒信息技术有限公司 | Ssrf漏洞的检测方法及装置 |
CN107846407A (zh) * | 2017-11-10 | 2018-03-27 | 郑州云海信息技术有限公司 | 一种批量检测ssrf漏洞的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107395614B (zh) | 单点登录方法及系统 | |
CN105306473B (zh) | 一种防止注入攻击的方法、客户端、服务器和系统 | |
USRE46158E1 (en) | Methods and systems to detect attacks on internet transactions | |
KR101723937B1 (ko) | 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스 | |
JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
CN105046141B (zh) | 一种自适应的验证码设计方法及系统 | |
US8533328B2 (en) | Method and system of determining vulnerability of web application | |
CN108334753B (zh) | 盗版应用验证方法和分布式服务器节点 | |
KR101948721B1 (ko) | 파일 해시 값을 이용한 파일 위변조 검사 방법 및 단말 장치 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
CN107864115A (zh) | 一种利用便携式终端进行用户账号登录验证的方法 | |
US9767262B1 (en) | Managing security credentials | |
CN104363207A (zh) | 多因子安全增强授权与认证方法 | |
DK2767922T3 (en) | Password Verification System | |
US10862880B1 (en) | Authentication security via application-specific dynamic token generation | |
WO2021137769A1 (en) | Method and apparatus for sending and verifying request, and device thereof | |
US20190297071A1 (en) | Managing security credentials | |
CN109684878A (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
CN106487752A (zh) | 一种用于验证访问安全的方法和装置 | |
CN113965395A (zh) | 一种实时安全访问内网的方法、系统及装置 | |
CN109948333A (zh) | 一种账户攻击的安全防御方法及装置 | |
CN110417796A (zh) | 一种客户端请求处理方法、装置、设备及可读存储介质 | |
CN107995167B (zh) | 一种设备识别方法及服务器 | |
KR20140103004A (ko) | 사용자 인증 장치 및 방법 | |
CN107563751A (zh) | 用户认证方法、装置、计算设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191105 |