CN112182590A - 一种Web应用的漏洞更新方法及装置 - Google Patents
一种Web应用的漏洞更新方法及装置 Download PDFInfo
- Publication number
- CN112182590A CN112182590A CN202011277322.2A CN202011277322A CN112182590A CN 112182590 A CN112182590 A CN 112182590A CN 202011277322 A CN202011277322 A CN 202011277322A CN 112182590 A CN112182590 A CN 112182590A
- Authority
- CN
- China
- Prior art keywords
- web application
- server
- distributed coordination
- vulnerability information
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000007123 defense Effects 0.000 claims abstract description 113
- 230000014509 gene expression Effects 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 230000000694 effects Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000011022 operating instruction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 241000412611 Consul Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开一种Web应用的漏洞更新方法及装置,分布式协调服务器接收Web应用服务器发送的注册信息;分布式协调服务器接收防御配置服务器发送的针对Web应用服务器的第一配置指令;分布式协调服务器基于第一配置指令对本地存储的Web应用服务器的漏洞信息进行更新,得到第一漏洞信息;分布式协调服务器向Web应用服务器发送第一通知信息;第一通知信息用于指示Web应用服务器从分布式协调服务器中获取第一漏洞信息,并根据第一漏洞信息对本地内存中加载的漏洞信息进行更新。该方式Web应用服务器对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,故本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及一种Web应用的漏洞更新方法及装置。
背景技术
在Web应用系统开发过程中,XSS(Cross Site Scripting,跨站脚本攻击)是最常见的安全漏洞之一,攻击者可利用Web应用系统存在的漏洞,嵌入恶意脚本代码窃取用户私密信息、获取更高权限执行非法操作等。
针对上述问题,一种防御XSS的方法可以是在Web应用系统中对用户输入进行过滤,如基于黑名单机制。当用户输入中出现黑名单关键词、或匹配黑名单正则表达式特征,则对用户的请求进行过滤。
然而,上述基于黑名单机制的XSS防御方法的弊端在于难以对黑名单进行及时的更新和维护。具体而言,该种基于黑名单机制的XSS防御方法要求在Web应用系统中引入安全防御的JAR包,或者需要在Web应用系统中增加对黑名单机制的配置文件,这两种方式都需要对Web应用系统进行重启,方可使变动的黑名单生效。同时,由于同一黑名单机制涉及的Web应用系统可能为成百上千个,该生效过程中,涉及的时间及人力成本都很高,也影响到Web应用系统的服务的稳定性和连续性。
综上,现有技术尚无法提供一种便捷的、高效的、稳定的、低廉成本的Web应用的漏洞更新方法。
申请内容
本申请提供一种Web应用的漏洞更新方法及装置,用以解决现有技术在对Web应用系统的防御XSS的黑名单更新过程中需要重启应用系统、时间长、成本高的技术问题。
第一方面,本申请实施例提供一种Web应用的漏洞更新方法,该方法包括:分布式协调服务器接收Web应用服务器发送的注册信息;所述分布式协调服务器接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令;所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息;所述分布式协调服务器向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在一种可能实现的方法中,所述分布式协调服务器包括至少一个节点;所述分布式协调服务器接收Web应用服务器发送的注册信息之前,还包括:所述分布式协调服务器接收所述防御配置服务器发送的第二配置指令;所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息。
基于该方案,由于分布式协调服务器上具有多个节点,因此在分布式协调服务器执行Web应用的漏洞更新方法之前,分布式协调服务器可先接收到防御配置服务器发送的第二配置指令,从而分布式协调服务器可以基于该第二配置指令,在自身的一个节点上(即第一节点)设置关于Web应用服务器的漏洞信息,如此,分布式协调服务器在接收到Web应用服务器的注册信息的时候,分布式协调服务器可对第一节点进行监听,并在确定第一节点有更新时,分布式协调服务器可向注册的Web应用服务器发送通知信息。该方式通过让分布式协调服务器对自身节点的状态进行监听,并在确定节点有变动时,向注册的Web应用服务器通知信息,因此Web应用服务器可快读、高效地对本地内存中加载的漏洞信息进行更新。
在一种可能实现的方法中,所述Web应用服务器的漏洞信息包括漏洞防御关键词和漏洞防御正则表达式;所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息,包括:所述分布式协调服务器在所述第一节点上建立至少两个子节点,且针对所述至少两个子节点中的任一子节点,在所述子节点上设置所述漏洞防御关键词或者所述漏洞防御正则表达式。
基于该方案,由于漏洞信息的表现形式的不同,包括漏洞防御关键词以及漏洞防御正则表达式,如此当分布式协调服务器基于第二配置指令在自身的第一节点上设置关于Web应用服务器的漏洞信息时,分布式协调服务器可以在第一节点上创建至少两个子节点,然后分布式协调服务器可以在不同的子节点上对漏洞防御关键词和漏洞防御正则表达式这两种不同表现形式的漏洞信息进行存储,如此的话,当有漏洞信息需要更新时,便于分布式协调服务器在对应类型的子节点上对漏洞信息进行更新。
第二方面,本申请实施例提供一种Web应用的漏洞更新方法,该方法包括:Web应用服务器向分布式协调服务器发送注册信息;所述Web应用服务器接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的;所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,在增设分布式协调服务器后,Web应用服务器可在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,Web应用服务器可接收到分布式协调服务器发送的通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在一种可能实现的方法中,所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新,包括:所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息和本地外存中加载的漏洞信息进行更新。
基于该方案,Web应用服务器在对漏洞信息进行更新时,一方面,Web应用服务器可根据第一漏洞信息对本地内存中加载的漏洞信息进行更新,如此可以在无需对Web应用服务器进行重启的条件下,就可以实现让Web应用服务器基于本地内存中加载的漏洞信息(最新、最全的漏洞信息)来对用户的请求进行过滤,确定请求为可服务还是不可服务;另一方面,Web应用服务器可根据第一漏洞信息对本地外存中加载的漏洞信息进行更新,如此可以在Web应用服务器被重启时,可以将本地外存中加载的漏洞信息(最新、最全的漏洞信息)加载到本地内存中,以使得Web应用服务器可以基于本地内存中存储的最新、最全的漏洞信息来对用户请求进行过滤,确定请求为可服务还是不可服务。该方式实现了本次更新的漏洞信息在无需重启Web应用服务器时就可以生效,以及在重启Web应用系统后,依然可以实现本次更新的漏洞信息的生效。
在一种可能实现的方法中,所述第一漏洞信息是所述分布式协调服务器在本地存储的所述Web应用服务器的全量漏洞信息。
基于该方案,Web应用服务器在对漏洞信息进行更新时,其中的第一漏洞信息是分布式协调服务器在本地存储的Web应用服务器的全量漏洞信息,如此,在Web应用服务器未能成功接收到本次的通知信息时,当分布式协调服务器下次再向Web应用服务器发送通知信息时,Web应用服务器可以基于当前的通知信息从分布式协调服务器上获取全量的漏洞信息,包括上次未能成功接收到漏洞更新数据,该方式具有保证Web应用服务器的本地内存中加载的漏洞信息的完整性的特点。
第三方面,本申请实施例提供一种Web应用的漏洞更新方法,该方法包括:防御配置服务器向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息;所述防御配置服务器接收用户针对所述Web应用服务器的配置指示;所述防御配置服务器基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,具体可为分布式协调服务器接收到防御配置服务发送的第一配置指令,分布式协调服务器再基于该第一配置指令对本地存储的Web应用服务器的漏洞信息进行更新,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
第四方面,本申请实施例提供一种分布式协调服务器,该分布式协调服务器包括:接收单元,用于接收Web应用服务器发送的注册信息;所述接收单元,还用于接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令;处理单元,用于基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息;发送单元,用于向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在一种可能实现的方法中,该分布式协调服务器包括至少一个节点;所述接收单元,还用于接收所述防御配置服务器发送的第二配置指令;所述处理单元,还用于基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息。
基于该方案,由于分布式协调服务器上具有多个节点,因此在分布式协调服务器执行Web应用的漏洞更新方法之前,分布式协调服务器可先接收到防御配置服务器发送的第二配置指令,从而分布式协调服务器可以基于该第二配置指令,在自身的一个节点上(即第一节点)设置关于Web应用服务器的漏洞信息,如此,分布式协调服务器在接收到Web应用服务器的注册信息的时候,分布式协调服务器可对第一节点进行监听,并在确定第一节点有更新时,分布式协调服务器可向注册的Web应用服务器发送通知信息。该方式通过让分布式协调服务器对自身节点的状态进行监听,并在确定节点有变动时,向注册的Web应用服务器通知信息,因此Web应用服务器可快读、高效地对本地内存中加载的漏洞信息进行更新。
在一种可能实现的方法中,所述Web应用服务器的漏洞信息包括漏洞防御关键词和漏洞防御正则表达式;所述处理单元,具体用于在所述第一节点上建立至少两个子节点,且针对所述至少两个子节点中的任一子节点,在所述子节点上设置所述漏洞防御关键词或者所述漏洞防御正则表达式。
基于该方案,由于漏洞信息的表现形式的不同,包括漏洞防御关键词以及漏洞防御正则表达式,如此当分布式协调服务器基于第二配置指令在自身的第一节点上设置关于Web应用服务器的漏洞信息时,分布式协调服务器可以在第一节点上创建至少两个子节点,然后分布式协调服务器可以在不同的子节点上对漏洞防御关键词和漏洞防御正则表达式这两种不同表现形式的漏洞信息进行存储,如此的话,当有漏洞信息需要更新时,便于分布式协调服务器在对应类型的子节点上对漏洞信息进行更新。
第五方面,本申请实施例提供一种Web应用服务器,该Web应用服务器包括:发送单元,用于向分布式协调服务器发送注册信息;接收单元,用于接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的;处理单元,用于从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,在增设分布式协调服务器后,Web应用服务器可在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,Web应用服务器可接收到分布式协调服务器发送的通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在一种可能实现的方法中,所述处理单元,具体用于从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息和本地外存中加载的漏洞信息进行更新。
基于该方案,Web应用服务器在对漏洞信息进行更新时,一方面,Web应用服务器可根据第一漏洞信息对本地内存中加载的漏洞信息进行更新,如此可以在无需对Web应用服务器进行重启的条件下,就可以实现让Web应用服务器基于本地内存中加载的漏洞信息(最新、最全的漏洞信息)来对用户的请求进行过滤,确定请求为可服务还是不可服务;另一方面,Web应用服务器可根据第一漏洞信息对本地外存中加载的漏洞信息进行更新,如此可以在Web应用服务器被重启时,可以将本地外存中加载的漏洞信息(最新、最全的漏洞信息)加载到本地内存中,以使得Web应用服务器可以基于本地内存中存储的最新、最全的漏洞信息来对用户请求进行过滤,确定请求为可服务还是不可服务。该方式实现了本次更新的漏洞信息在无需重启Web应用服务器时就可以生效,以及在重启Web应用系统后,依然可以实现本次更新的漏洞信息的生效。
在一种可能实现的方法中,所述第一漏洞信息是所述分布式协调服务器在本地存储的所述Web应用服务器的全量漏洞信息。
基于该方案,Web应用服务器在对漏洞信息进行更新时,其中的第一漏洞信息是分布式协调服务器在本地存储的Web应用服务器的全量漏洞信息,如此,在Web应用服务器未能成功接收到本次的通知信息时,当分布式协调服务器下次再向Web应用服务器发送通知信息时,Web应用服务器可以基于当前的通知信息从分布式协调服务器上获取全量的漏洞信息,包括上次未能成功接收到漏洞更新数据,该方式具有保证Web应用服务器的本地内存中加载的漏洞信息的完整性的特点。
第六方面,本申请实施例提供一种防御配置服务器,该防御配置服务器包括:发送单元,用于向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息;接收单元,用于接收用户针对所述Web应用服务器的配置指示;所述发送单元,还用于基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,具体可为分布式协调服务器接收到防御配置服务发送的第一配置指令,分布式协调服务器再基于该第一配置指令对本地存储的Web应用服务器的漏洞信息进行更新,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
第七方面,本申请实施例提供了一种计算设备,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述存储器中存储的计算机程序,按照获得的程序执行如第一方面、第二方面和第三方面任一所述的方法。
第八方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行如第一方面、第二方面和第三方面任一所述的方法。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种可能的系统架构示意图;
图2为本申请实施例提供的一种Web应用的漏洞更新方法;
图3为本申请实施例提供的一种Web应用的漏洞更新方法;
图4为本申请实施例提供的一种Web应用的漏洞更新方法;
图5为本申请实施例提供的一种分布式协调服务器;
图6为本申请实施例提供的一种Web应用服务器;
图7为本申请实施例提供的一种防御配置服务器;
图8为本申请实施例提供的一种计算设备的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
目前,在Web应用系统开发过程中,XSS是最常见的安全漏洞之一。通过黑名单机制,可以有效地防御XSS,包括:通过在Web应用系统中引入安全防御的JAR包,或者在Web应用系统的配置文件中写好需要防御的XSS的字段。然而,上述两种防御方式在面对XSS字段发生更新的问题时,需要人为地对Web应用系统中的JAR包、或者配置文件进行修改,并在修改结束后对Web应用系统进行重启,方可使本次的更新生效。同时,由于同一黑名单机制涉及的Web应用系统可能为成百上千个,该生效过程中,涉及的时间及人力成本都很高,也影响到Web应用系统的服务的稳定性和连续性。
综上,目前的对Web应用系统的漏洞信息进行更新的方式极为繁琐、且成本不菲。
基于上述技术问题,本申请实施例提供一种可能的系统架构示意图,该架构包括防御配置服务器110、分布式协调服务器120和Web应用服务器130,可选的,该架构还包括客户端140。其中,防御配置服务器110可以是一台独立的服务器,也可以是若干台服务器组合而成的服务器集群。分布式协调服务器120可以是一台独立的服务器,也可以是若干台服务器组合而成的服务器集群。Web应用服务器130可以为根据不同的业务需求而分别设置的服务器,作为一种示例,本申请图1所示的架构中可包括Web应用服务器1301、Web应用服务器1302。
防御配置服务器110可为用户提供下发针对Web应用服务器的漏洞信息配置指令的操作入口,可包括:第一方面,如当技术人员确定需要为一个或多个Web应用服务器设置漏洞防御信息时,技术人员通过在防御配置服务器110中下发配置指令,如此,所下发的配置指令可以在分布式协调服务器120中生效;第二方面,如当技术人员确定需要对分布式协调服务器120中存储的针对Web应用服务器的漏洞信息进行更新时,技术人员通过在防御配置服务器110中下发配置指令,如此,所下发的配置指令可以在分布式协调服务器120中生效。
可选的,在配置指令为新增漏洞防御关键词或者漏洞防御正则表达式时,那么相应的,分布式协调服务器120本地存储的针对Web应用服务器的漏洞信息中会对应增加漏洞防御关键词或者漏洞防御正则表达式。可选的,在配置指令为对漏洞信息中的某个/些漏洞防御关键词或者漏洞防御正则表达式进行删除时,那么相应的,分布式协调服务器120本地存储的针对Web应用服务器的漏洞信息中会对应地删除该个/些漏洞防御关键词或者漏洞防御正则表达式。可选的,在配置信息为对漏洞信息中的某个/些漏洞防御关键词或者漏洞防御正则表达式进行替换时,那么相应的,分布式协调服务器120本地存储的针对Web应用服务器的漏洞信息中会对应的替换该个/些漏洞防御关键词或者漏洞正则表达式。当然,配置指令还可以是基于其他需求进行设置的,本申请实施例不做具体限制;与之对应的,分布式协调服务器120还可以表现为其他形式的漏洞信息的更新,本申请实施例也不做具体限制。
分布式协调服务器120可用于响应用户通过防御配置服务器110下发的针对Web应用服务器的漏洞信息的配置指令。此外,分布式协调服务器120还可用于接收Web应用服务器发送的注册信息,该注册信息用于指示分布式协调服务器120在确定本地存储的针对Web应用服务器的漏洞信息发生更新时,分布式协调服务器120可向Web应用服务器发送通知信息,该通知信息用于指示Web应用服务器从分布式协调服务器120中获取最新的漏洞防御信息,并根据该最新的漏洞防御信息对本地内存中加载的漏洞信息进行更新。
其中,分布式协调服务器120可以包括但不限于ZooKeeper、Consul、ETCD等服务协调工具。
其中,分布式协调服务器120中可包括多个节点,不同的节点可用于不同的服务功能。因此,在分布式协调服务器120接收到防御配置服务器110发送的针对Web应用服务器的漏洞信息配置指令时,分布式协调服务器120可在本地多个节点中选择一个节点来作为设置漏洞信息的节点;进一步的,当分布式协调服务器120后续接收到用户通过防御配置服务器110下发的对漏洞信息进行更新的配置指令时,则分布式协调服务器120可在该节点上对漏洞信息进行适应更新。
此外,由于Web应用服务器在对安全漏洞进行防御的过程中,可以基于关键词或者正则表达式的形式而展开防御。因此,在分布式协调服务器120从本地多个节点中选择一个节点来作为设置漏洞信息的节点时,分布式协调服务器120可以在该节点下设置至少两个子节点,如此,针对这至少两个子节点中的任一个子节点,分布式协调服务器120可以使用该子节点来存储漏洞防御关键词或者用来存储漏洞防御正则表达式。
Web应用服务器130可用于向分布式协调服务器120发送注册信息,该注册信息用于指示分布式协调服务器120在确定本地存储的针对Web应用服务器130的漏洞信息发生更新时,分布式协调服务器120须向Web应用服务器130发送通知信息;进一步地,在Web应用服务器130接收到该通知信息后,Web应用服务器130可从分布式协调服务器120中获取最新的漏洞防御信息,并根据该最新的漏洞防御信息对本地内存中加载的漏洞信息进行更新,如此可在不对Web应用服务器进行重启操作的条件下,就能够让Web应用服务器130基于本地内存中所加载的最新的漏洞防御信息来对客户端140发送的请求进行过滤,以确定该请求是否为可服务的请求,具体可包括:若Web应用服务器130确定该请求属于可服务的请求,也即该请求不在本地内存中加载的最新的漏洞防御信息的范围内,则Web应用服务器130可对该请求进行响应;若Web应用服务器130确定该请求属于不可服务的请求,也即该请求在本地内存中加载的最新的漏洞防御信息的范围内,则Web应用服务器130不可对该请求进行响应。
其中,在Web应用服务器130接收到分布式协调服务器120通知信息后,一方面,Web应用服务器130可从分布式协调服务器120中获取最新的漏洞防御信息,并根据该最新的漏洞防御信息对本地内存中加载的漏洞信息进行更新,如此可在不对Web应用服务器进行重启操作的条件下,就能够让Web应用服务器130基于本地内存中所加载的最新的漏洞防御信息来对客户端140发送的请求进行过滤,以确定该请求是否为可服务的请求;另一方面,Web应用服务器130可从分布式协调服务器120中获取最新的漏洞防御信息,并根据该最新的漏洞防御信息对本地外存中加载的漏洞信息进行更新,如此可在对Web应用服务器进行重启操作时,Web应用服务器130可以将本地外存中存储的最新的漏洞防御信息加载到本地内存中,从而Web应用服务器130可再次基于本地内存中加载的最新的漏洞防御信息来对客户端140发送的请求进行过滤。
其中,在Web应用服务器130接收到分布式协调服务器120发送的通知信息后,Web应用服务器130可基于该通知信息而从分布式协调服务120中获取最新的漏洞防御信息,具体可包括:Web应用服务器130从分布式协调服务120中获取全量的漏洞信息,或者Web应用服务器130从分布式协调服务120中获取增量的漏洞信息。其中,对于Web应用服务器130从分布式协调服务120中获取全量的漏洞信息的情形,则可以在Web应用服务器未能成功接收到本次的通知信息时,当分布式协调服务器120下次再向Web应用服务器130发送通知信息时,Web应用服务器可以基于当前的通知信息从分布式协调服务器上获取全量的漏洞信息,包括上次未能成功接收到漏洞更新数据,该方式具有保证Web应用服务器的本地内存中加载的漏洞信息的完整性的特点。其中,对于Web应用服务器130从分布式协调服务120中获取增量的漏洞信息的情形,则可以产生较少量的资源损耗。
基于上述技术问题和图1所示的系统架构,本申请实施例提供一种Web应用的漏洞更新方法,如图2所示,该方法可由图1所示的分布式协调服务器120执行,包括以下步骤:
步骤201,分布式协调服务器接收Web应用服务器发送的注册信息。
在本步骤中,所述注册信息用于指示分布式协调服务器在确定本地存储的针对Web应用服务器的漏洞信息发生更新时,分布式协调服务器须向Web应用服务器发送通知信息。
步骤202,所述分布式协调服务器接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令。
在本步骤中,分布式协调服务器本地存储有用于保障Web应用服务器安全的漏洞信息;其中,该漏洞信息是通过防御配置服务器下发配置指令,从而在分布式协调服务器上进行存储的。在需要对保障Web应用服务器安全的漏洞信息进行更新时,防御配置服务器通过下发第一配置指令,相应的,分布式协调服务器可接收到该第一配置指令。
步骤203,所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息。
在本步骤中,在分布式协调服务器接收到第一配置指令后,分布式协调服务器可基于该第一配置指令对本地存储的用于保障Web应用服务器安全的漏洞信息进行更新,并得到第一漏洞信息。
步骤204,所述分布式协调服务器向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
在本步骤中,当分布式协调服务器对本地存储的用于保障Web应用服务器安全的漏洞信息进行更新后,分布式协调服务器可向已在自身注册过的Web应用服务器发送第一通知信息,从而可以使得接收到第一通知信息的Web应用服务器从分布式协调服务器中获取第一漏洞信息,并根据该第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在本申请的某些实施例中,所述分布式协调服务器包括至少一个节点;所述分布式协调服务器接收Web应用服务器发送的注册信息之前,还包括:所述分布式协调服务器接收所述防御配置服务器发送的第二配置指令;所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息。
在本申请的某些实施例中,所述Web应用服务器的漏洞信息包括漏洞防御关键词和漏洞防御正则表达式;所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息,包括:所述分布式协调服务器在所述第一节点上建立至少两个子节点,且针对所述至少两个子节点中的任一子节点,在所述子节点上设置所述漏洞防御关键词或者所述漏洞防御正则表达式。
举个例子,如本申请的分布式协调服务器中存储的用于保障Web应用服务器安全的漏洞信息为防御XSS的黑名单。此时,分布式协调服务器可以选择本地多个节点中的一个节点(也即第一节点)来存储防御XSS的黑名单。其中,由于用于防御XSS的黑名单可包括采用关键词的形式和采用正则表达式的形式,如此,分布式协调服务器可在第一节点上继续创建至少两个子节点,且针对其中的两个子节点,使用这两个子节点中的一个子节点来存储关键词形式的防御XSS的黑名单、以及使用这两个子节点中的另一个子节点来存储正则表达式形式的防御XSS的黑名单。
基于上述技术问题和图1所示的系统架构,本申请实施例提供一种Web应用的漏洞更新方法,如图3所示,该方法可由图1所示的Web应用服务器130执行,包括以下步骤:
步骤301,Web应用服务器向分布式协调服务器发送注册信息。
步骤302,所述Web应用服务器接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的。
步骤303,所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,在增设分布式协调服务器后,Web应用服务器可在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,Web应用服务器可接收到分布式协调服务器发送的通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
在本申请的某些实施例中,所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新,包括:所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息和本地外存中加载的漏洞信息进行更新。
Web应用服务器在对漏洞信息进行更新时,一方面,Web应用服务器可根据第一漏洞信息对本地内存中加载的漏洞信息进行更新,如此可以在无需对Web应用服务器进行重启的条件下,就可以实现让Web应用服务器基于本地内存中加载的漏洞信息(最新、最全的漏洞信息)来对用户的请求进行过滤,确定请求为可服务还是不可服务;另一方面,Web应用服务器可根据第一漏洞信息对本地外存中加载的漏洞信息进行更新,如此可以在Web应用服务器被重启时,可以将本地外存中加载的漏洞信息(最新、最全的漏洞信息)加载到本地内存中,以使得Web应用服务器可以基于本地内存中存储的最新、最全的漏洞信息来对用户请求进行过滤,确定请求为可服务还是不可服务。该方式实现了本次更新的漏洞信息在无需重启Web应用服务器时就可以生效,以及在重启Web应用系统后,依然可以实现本次更新的漏洞信息的生效。在一种实施方式中,在Web应用服务器接收到分布式协调服务器发送的第一通知信息时,Web应用服务器可从分布式协调服务器中获取第一漏洞信息,并将第一漏洞信息分别保存在Web应用内存(即本地内存)和本地文件(即本地外存)中。其中,被保存Web应用内存中的第一漏洞信息用于(Web应用系统)对客户端发送的服务请求进行处理;被保存在本地文件中的第一漏洞信息用于(Web应用系统)在系统重启时使用。
在本申请的某些实施例中,所述第一漏洞信息是所述分布式协调服务器在本地存储的所述Web应用服务器的全量漏洞信息。
在Web应用服务器接收到分布式协调服务器发送的通知信息后,Web应用服务器可基于该通知信息而从分布式协调服务中获取最新的漏洞防御信息,即第一漏洞信息,该第一漏洞信息用于表示分布式协调服务器在本地存储的Web应用服务器的全量漏洞信息。对于Web应用服务器从分布式协调服务中获取全量的漏洞信息的情形,则可以在Web应用服务器未能成功接收到本次的通知信息时,当分布式协调服务器下次再向Web应用服务器发送通知信息时,Web应用服务器可以基于当前的通知信息从分布式协调服务器上获取全量的漏洞信息,包括上次未能成功接收到漏洞更新数据,该方式具有保证Web应用服务器的本地内存中加载的漏洞信息的完整性的特点。
基于上述技术问题和图1所示的系统架构,本申请实施例提供一种Web应用的漏洞更新方法,如图4所示,该方法可由图1所示的防御配置服务器110执行,包括以下步骤:
步骤401,防御配置服务器向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息。
步骤402,所述防御配置服务器接收用户针对所述Web应用服务器的配置指示。
步骤403,所述防御配置服务器基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
基于该方案,通过增设分布式协调服务器,并让Web应用服务器在分布式协调服务器上进行注册,从而可以使得当分布式协调服务器确认本地存储的Web应用服务器的漏洞信息有更新的时候,具体可为分布式协调服务器接收到防御配置服务发送的第一配置指令,分布式协调服务器再基于该第一配置指令对本地存储的Web应用服务器的漏洞信息进行更新,分布式协调服务器向Web应用服务器发送通知信息,最终可实现Web应用服务器基于从分布式协调服务器上获取的漏洞信息来对本地内存中加载的漏洞信息进行更新的目标。该方式中Web应用服务器在对漏洞信息进行更新时,具有直接更新本地内存中加载的漏洞信息的特点,而无需像背景技术那样,即在对漏洞信息进行更改后,仍需要对Web应用系统执行重启的操作,方可使得本次更改生效,因此本申请的该方式具有便捷、高效、稳定、成本低廉等诸多优点。
基于同样的构思,本申请实施例还提供一分布式协调服务器,如图5所示,该分布式协调服务器包括:
接收单元501,用于接收Web应用服务器发送的注册信息。
接收单元501,还用于接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令。
处理单元502,用于基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息。
发送单元503,用于向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
进一步地,对于该分布式协调服务器,该分布式协调服务器包括至少一个节点;接收单元501,还用于接收所述防御配置服务器发送的第二配置指令;处理单元503,还用于基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息。
进一步地,对于该分布式协调服务器,所述Web应用服务器的漏洞信息包括漏洞防御关键词和漏洞防御正则表达式;处理单元503,具体用于在所述第一节点上建立至少两个子节点,且针对所述至少两个子节点中的任一子节点,在所述子节点上设置所述漏洞防御关键词或者所述漏洞防御正则表达式。
基于同样的构思,本申请实施例还提供一种Web应用服务器,如图6所示,该Web应用服务器包括:
发送单元601,用于向分布式协调服务器发送注册信息。
接收单元602,用于接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的。
处理单元603,用于从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
进一步地,对于该Web应用服务器,处理单元603,具体用于从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息和本地外存中加载的漏洞信息进行更新。
进一步地,对于该Web应用服务器,所述第一漏洞信息是所述分布式协调服务器在本地存储的所述Web应用服务器的全量漏洞信息。
基于同样的构思,本申请实施例还提供一种防御配置服务器,如图7所示,该防御配置服务器包括:
发送单元701,用于向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息。
接收单元702,用于接收用户针对所述Web应用服务器的配置指示;
发送单元701,还用于基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
本申请实施例提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。该计算设备可以包括中央处理器(Center Processing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器,可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本申请实施例中,存储器可以用于存储Web应用的漏洞更新方法的程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行Web应用的漏洞更新方法。
如图8所示,为本申请实施例提供的一种计算设备的示意图,该计算设备包括:
处理器801、存储器802、收发器803、总线接口804;其中,处理器801、存储器802与收发器803之间通过总线805连接;
所述处理器801,用于读取所述存储器802中的程序,执行上述Web应用的漏洞更新方法;
处理器801可以是中央处理器(central processing unit,简称CPU),网络处理器(network processor,简称NP)或者CPU和NP的组合。还可以是硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC),可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD),现场可编程逻辑门阵列(field-programmable gate array,简称FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。
所述存储器802,用于存储一个或多个可执行程序,可以存储所述处理器801在执行操作时所使用的数据。
具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器802可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,简称RAM);存储器802也可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器802还可以包括上述种类的存储器的组合。
存储器802存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
总线805可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
总线接口804可以为有线通信接入口,无线总线接口或其组合,其中,有线总线接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线总线接口可以为WLAN接口。
本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行Web应用的漏洞更新方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种Web应用的漏洞更新方法,其特征在于,包括:
分布式协调服务器接收Web应用服务器发送的注册信息;
所述分布式协调服务器接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令;
所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息;
所述分布式协调服务器向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
2.如权利要求1所述的方法,其特征在于,所述分布式协调服务器包括至少一个节点;
所述分布式协调服务器接收Web应用服务器发送的注册信息之前,还包括:
所述分布式协调服务器接收所述防御配置服务器发送的第二配置指令;
所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息。
3.如权利要求2所述的方法,其特征在于,所述Web应用服务器的漏洞信息包括漏洞防御关键词和漏洞防御正则表达式;
所述分布式协调服务器基于所述第二配置指令,在第一节点上设置所述Web应用服务器的漏洞信息,包括:
所述分布式协调服务器在所述第一节点上建立至少两个子节点,且针对所述至少两个子节点中的任一子节点,在所述子节点上设置所述漏洞防御关键词或者所述漏洞防御正则表达式。
4.一种Web应用的漏洞更新方法,其特征在于,包括:
Web应用服务器向分布式协调服务器发送注册信息;
所述Web应用服务器接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的;
所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
5.如权利要求4所述的方法,其特征在于,
所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新,包括:
所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息和本地外存中加载的漏洞信息进行更新。
6.如权利要求4所述的方法,其特征在于,所述第一漏洞信息是所述分布式协调服务器在本地存储的所述Web应用服务器的全量漏洞信息。
7.一种Web应用的漏洞更新方法,其特征在于,包括:
防御配置服务器向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息;
所述防御配置服务器接收用户针对所述Web应用服务器的配置指示;
所述防御配置服务器基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
8.一种分布式协调服务器,其特征在于,包括:
接收单元,用于接收Web应用服务器发送的注册信息;
所述接收单元,还用于接收防御配置服务器发送的针对所述Web应用服务器的第一配置指令;
处理单元,用于基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新,得到第一漏洞信息;
发送单元,用于向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
9.一种Web应用服务器,其特征在于,包括:
发送单元,用于向分布式协调服务器发送注册信息;
接收单元,用于接收所述分布式协调服务器发送的第一通知信息;所述第一通知信息是所述分布式协调服务器在接收到防御配置服务器发送的第一配置指令时,基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新并得到第一漏洞信息后发送的;
处理单元,用于从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
10.一种防御配置服务器,其特征在于,包括:
发送单元,用于向分布式协调服务器发送第二配置指令;所述第二配置指令用于指示在所述分布式协调服务器上设置Web应用服务器的漏洞信息;所述Web应用服务器用于基于所述分布式协调服务器发送的通知信息,从所述分布式协调服务器中获取用于更新本地内存中加载的漏洞信息的漏洞信息;
接收单元,用于接收用户针对所述Web应用服务器的配置指示;
所述发送单元,还用于基于所述配置指示向所述分布式协调服务器发送第一配置指令;所述第一配置指令用于指示所述分布式协调服务器基于所述第一配置指令对本地存储的所述Web应用服务器的漏洞信息进行更新后得到第一漏洞信息,并向所述Web应用服务器发送第一通知信息;所述第一通知信息用于指示所述Web应用服务器从所述分布式协调服务器中获取所述第一漏洞信息,并根据所述第一漏洞信息对本地内存中加载的漏洞信息进行更新。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,当所述程序在计算机上运行时,使得计算机实现执行如权利要求1-3、4-6或7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011277322.2A CN112182590A (zh) | 2020-11-16 | 2020-11-16 | 一种Web应用的漏洞更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011277322.2A CN112182590A (zh) | 2020-11-16 | 2020-11-16 | 一种Web应用的漏洞更新方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112182590A true CN112182590A (zh) | 2021-01-05 |
Family
ID=73918504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011277322.2A Pending CN112182590A (zh) | 2020-11-16 | 2020-11-16 | 一种Web应用的漏洞更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112182590A (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104915595A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 云平台虚拟化漏洞修复的方法及装置 |
| CN105677404A (zh) * | 2015-12-31 | 2016-06-15 | 拉扎斯网络科技(上海)有限公司 | 一种基于Zookeeper的配置更新方法及装置 |
| CN106230837A (zh) * | 2016-08-04 | 2016-12-14 | 湖南傻蛋科技有限公司 | 一种支持动态扩充的web漏洞扫描方法和扫描器 |
| CN108600029A (zh) * | 2018-05-09 | 2018-09-28 | 深圳壹账通智能科技有限公司 | 一种配置文件更新方法、装置、终端设备及存储介质 |
| CN109586948A (zh) * | 2018-10-16 | 2019-04-05 | 深圳壹账通智能科技有限公司 | 更新系统配置数据的方法、装置、计算机设备和存储介质 |
| CN109889530A (zh) * | 2019-03-05 | 2019-06-14 | 北京长亭科技有限公司 | Web应用防火墙系统及计算机存储介质 |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN110113412A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇艺世纪科技有限公司 | 一种数据同步方法及装置 |
| CN110795128A (zh) * | 2019-10-30 | 2020-02-14 | 上海米哈游天命科技有限公司 | 一种程序漏洞修复方法、装置、存储介质及服务器 |
| CN111182060A (zh) * | 2019-12-30 | 2020-05-19 | 北京健康之家科技有限公司 | 报文的检测方法及装置 |
| CN111245781A (zh) * | 2019-12-27 | 2020-06-05 | 广东睿江云计算股份有限公司 | 一种linux服务器动态封阻IP的方法及其系统 |
| CN111327613A (zh) * | 2020-02-20 | 2020-06-23 | 深圳市腾讯计算机系统有限公司 | 分布式服务的权限控制方法、装置及计算机可读存储介质 |
| CN111416836A (zh) * | 2020-02-13 | 2020-07-14 | 中国平安人寿保险股份有限公司 | 基于Nginx的服务器维护方法、装置、计算机设备及存储介质 |
| CN111786959A (zh) * | 2020-06-10 | 2020-10-16 | 中移(杭州)信息技术有限公司 | 安全防护方法、waf系统、电子设备及存储介质 |
| CN111913730A (zh) * | 2020-07-15 | 2020-11-10 | 上海莉莉丝科技股份有限公司 | 用户无感的应用程序内更新方法及用户端、程序服务器 |
-
2020
- 2020-11-16 CN CN202011277322.2A patent/CN112182590A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104915595A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 云平台虚拟化漏洞修复的方法及装置 |
| CN105677404A (zh) * | 2015-12-31 | 2016-06-15 | 拉扎斯网络科技(上海)有限公司 | 一种基于Zookeeper的配置更新方法及装置 |
| CN106230837A (zh) * | 2016-08-04 | 2016-12-14 | 湖南傻蛋科技有限公司 | 一种支持动态扩充的web漏洞扫描方法和扫描器 |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN108600029A (zh) * | 2018-05-09 | 2018-09-28 | 深圳壹账通智能科技有限公司 | 一种配置文件更新方法、装置、终端设备及存储介质 |
| CN109586948A (zh) * | 2018-10-16 | 2019-04-05 | 深圳壹账通智能科技有限公司 | 更新系统配置数据的方法、装置、计算机设备和存储介质 |
| CN109889530A (zh) * | 2019-03-05 | 2019-06-14 | 北京长亭科技有限公司 | Web应用防火墙系统及计算机存储介质 |
| CN110113412A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇艺世纪科技有限公司 | 一种数据同步方法及装置 |
| CN110795128A (zh) * | 2019-10-30 | 2020-02-14 | 上海米哈游天命科技有限公司 | 一种程序漏洞修复方法、装置、存储介质及服务器 |
| CN111245781A (zh) * | 2019-12-27 | 2020-06-05 | 广东睿江云计算股份有限公司 | 一种linux服务器动态封阻IP的方法及其系统 |
| CN111182060A (zh) * | 2019-12-30 | 2020-05-19 | 北京健康之家科技有限公司 | 报文的检测方法及装置 |
| CN111416836A (zh) * | 2020-02-13 | 2020-07-14 | 中国平安人寿保险股份有限公司 | 基于Nginx的服务器维护方法、装置、计算机设备及存储介质 |
| CN111327613A (zh) * | 2020-02-20 | 2020-06-23 | 深圳市腾讯计算机系统有限公司 | 分布式服务的权限控制方法、装置及计算机可读存储介质 |
| CN111786959A (zh) * | 2020-06-10 | 2020-10-16 | 中移(杭州)信息技术有限公司 | 安全防护方法、waf系统、电子设备及存储介质 |
| CN111913730A (zh) * | 2020-07-15 | 2020-11-10 | 上海莉莉丝科技股份有限公司 | 用户无感的应用程序内更新方法及用户端、程序服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 苗凡等: "基于Zookeeper的配置管理中心设计与实现", 铁路计算机应用 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102469267B1 (ko) | 블록 체인 합의 방법, 어카운팅 노드 및 노드 | |
| CN109391673B (zh) | 一种管理更新文件的方法、系统及终端设备 | |
| US20220368706A1 (en) | Attack Behavior Detection Method and Apparatus, and Attack Detection Device | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| CN110400217B (zh) | 智能合约的规则变更处理方法及装置 | |
| JP7087085B2 (ja) | 端末のアプリケーション管理方法、アプリケーションサーバー及び端末 | |
| CN103973635B (zh) | 页面访问控制方法和相关装置及系统 | |
| US11960607B2 (en) | Achieving minimum trustworthiness in distributed workloads | |
| US10219133B2 (en) | Notification message transmission method and device, and computer storage medium | |
| CN112714158A (zh) | 事务处理方法、中继网络、跨链网关、系统、介质和设备 | |
| WO2023040453A1 (zh) | 一种交易信息处理方法及装置 | |
| GB2512138A (en) | Secured online transactions | |
| CN112182590A (zh) | 一种Web应用的漏洞更新方法及装置 | |
| CN113541987A (zh) | 一种更新配置数据的方法和装置 | |
| EP4365808A1 (en) | Data verification method and apparatus | |
| CN111176567A (zh) | 分布式云存储的存储供应量验证方法及装置 | |
| CN109559225B (zh) | 一种交易方法及装置 | |
| CN109450885B (zh) | 网络数据拦截方法、装置、电子设备及存储介质 | |
| CN111147480B (zh) | 文件访问控制方法、装置、设备及介质 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN113609520A (zh) | 接口调用方法、装置、设备和计算机可读存储介质 | |
| CN113190812A (zh) | 一种登录方法、系统、电子设备及存储介质 | |
| US20230004665A1 (en) | Control server, data sharing system, and control program | |
| CN107948130B (zh) | 一种文件处理方法、服务器及系统 | |
| CN109739812A (zh) | 一种显示资源文件的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |