CN112395536A - 网站的攻击防御方法及装置、存储介质、电子装置 - Google Patents
网站的攻击防御方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN112395536A CN112395536A CN201910755848.8A CN201910755848A CN112395536A CN 112395536 A CN112395536 A CN 112395536A CN 201910755848 A CN201910755848 A CN 201910755848A CN 112395536 A CN112395536 A CN 112395536A
- Authority
- CN
- China
- Prior art keywords
- file
- monitoring
- stored
- directory
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 230000007123 defense Effects 0.000 title claims description 14
- 238000013515 script Methods 0.000 claims abstract description 60
- 238000012544 monitoring process Methods 0.000 claims abstract description 55
- 230000006870 function Effects 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 18
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100123444 Schizosaccharomyces pombe (strain 972 / ATCC 24843) hap5 gene Proteins 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网站的攻击防御方法及装置、存储介质、电子装置,该方法包括:监测网站服务器的代码解析事件;判断所述代码解析事件解析的脚本文件是否存储在指定目录中;在所述脚本文件存储在所述指定目录中时,拦截所述代码解析事件。通过本发明,解决了相关技术中采用上传恶意脚本绕过网站防御攻击网站的技术问题,从而保障了网站的安全性。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种网站的攻击防御方法及装置、存储介质、电子装置。
背景技术
相关技术中,当攻击者找到网站漏洞后,往往会尝试采用上传恶意脚本(也叫WebShell)的方式,方便其控制与利用。攻击者常利用的一种手段是通过上传漏洞,在网站目录中写入包含恶意代码的图片或是其他利用畸形文件名绕过防护目录下的文件,之后利用解析漏洞,将其解析成相应的代码进行执行,这将会导致网站被控制,能够操作该网站目录下的文件,如果权限够大的话,还会导致服务器沦陷,危害巨大。
目前,针对上传脚本的防御,大多采用对脚本文件进行特征检测,匹配恶意字符串特征库或是匹配HTTP请求/响应特征库,以进行静态或是动态特征匹配。此类方法容易被绕过,如果出现新的、且没有被特征库收录的恶意脚本,就很容易绕过防护目录,防御较为困难。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种网站的攻击防御方法及装置、存储介质、电子装置。
根据本发明的一个实施例,提供了一种网站的攻击防御方法,包括:监测网站服务器的代码解析事件;判断所述代码解析事件解析的脚本文件是否存储在指定目录中;在所述脚本文件存储在所述指定目录中时,拦截所述代码解析事件。
可选的,监测网站服务器的代码解析事件包括:监测所述网站服务器中的文件创建Create File函数;判断所述Create File函数的调用栈中是否携带动态链接库文件DLL文件;在所述Create File函数的调用栈中携带DLL文件时,确定所述网站服务器正在发生代码解析事件。
可选的,监测所述网站服务器中的Create File函数包括:监测第一解析进程是否在解析超文本预处理器PHP;获取所述PHP在访问文件时调用的系统接口,其中,所述系统接口包括:Nt Create File。
可选的,监测网站服务器的代码解析事件包括:监测所述网站服务器运行的第二解析进程;在所述第二解析进程为预设进程时,确定所述网站服务器正在发生代码解析事件。
可选的,在判断所述代码解析事件解析的脚本文件是否存储在指定目录中之后,所述方法还包括:在所述脚本文件未存储在所述指定目录中时,放行所述代码解析事件。
可选的,在判断所述代码解析事件解析的脚本文件是否存储在指定目录中之前,所述方法还包括:在所述网站服务器的目录列表中配置所述指定目录,其中,所述指定目录中存储的文件禁止解析成代码。
根据本发明的另一个实施例,提供了一种网站的攻击防御装置,包括:监测模块,用于监测网站服务器的代码解析事件;判断模块,用于判断所述代码解析事件解析的脚本文件是否存储在指定目录中;拦截模块,用于在所述脚本文件存储在所述指定目录中时,拦截所述代码解析事件。
可选的,所述监测模块包括:第一监测单元,用于监测所述网站服务器中的文件创建Create File函数;判断单元,用于判断所述Create File函数的调用栈中是否携带动态链接库文件DLL文件;第一确定单元,用于在所述Create File函数的调用栈中携带DLL文件时,确定所述网站服务器正在发生代码解析事件。
可选的,所述监测单元包括:监测子单元,用于监测第一解析进程是否在解析超文本预处理器PHP;获取子单元,用于获取所述PHP在访问文件时调用的系统接口,其中,所述系统接口包括:Nt Create File。
可选的,所述监测模块包括:第二监测单元,用于监测所述网站服务器运行的第二解析进程;第二确定单元,用于在所述第二解析进程为预设进程时,确定所述网站服务器正在发生代码解析事件。
可选的,所述装置还包括:在所述脚本文件未存储在所述指定目录中时,放行所述代码解析事件。
可选的,所述装置还包括:在所述网站服务器的目录列表中配置所述指定目录,其中,所述指定目录中存储的文件禁止解析成代码。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于将指定目录设为禁止脚本解析的防护目录,然后通过监测网站服务器的代码解析事件,来判断代码解析事件解析的脚本文件是否存储在指定目录中,若存在,则拦截该代码解析事件,从而阻止了因恶意脚本的执行攻击网站目录下的文件,解决了相关技术中采用上传恶意脚本绕过网站防御攻击网站的技术问题,进而保障了网站的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种网站的攻击防御方法应用于服务器的硬件结构框图;
图2是根据本发明实施例的一种网站的攻击防御方法的流程图;
图3是根据本发明实施例提供的一种网站的攻击防御方法的具体流程图;
图4是根据本发明实施例的一种网站的攻击防御的装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器、计算机、终端或者类似的运算装置中执行。以运行在计算机上为例,图1是本发明实施例的一种网站的攻击防御方法应用于服务器的硬件结构框图。如图1所示,计算机可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机的结构造成限定。例如,服务器还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种网站的攻击防御方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种网站的攻击防御方法,图2是根据本发明实施例的一种网站的攻击防御方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,监测网站服务器的代码解析事件;
本实施例中,服务器监测网站服务器的代码解析事件是在防御系统部署之后进行的。
步骤S204,判断代码解析事件解析的脚本文件是否存储在指定目录中;
本实施例中的指定目录下的文件,是由管理员配置禁止被解析成代码的防护目录。
步骤S206,在脚本文件存储在指定目录中时,拦截代码解析事件。
通过上述步骤,由于将指定目录设为禁止脚本解析的防护目录,然后通过监测网站服务器的代码解析事件,来判断代码解析事件解析的脚本文件是否存储在指定目录中,若存在,则拦截该代码解析事件,从而阻止了因恶意脚本的执行攻击网站目录下的文件,解决了相关技术中采用上传恶意脚本绕过网站防御攻击网站的技术问题,进而保障了网站的安全性。
可选地,监测网站服务器的代码解析事件包括:监测网站服务器中的文件创建Create File函数;判断Create File函数的调用栈中是否携带动态链接库文件(DynamicLink Library,DLL)文件;在Create File函数的调用栈中携带DLL文件时,确定网站服务器正在发生代码解析事件。
在一个可选的实施例中,在Apache+php组合的一种模式中,php作为apache的模块运行,即主体都为apache的进程httpd.exe。httpd.exe无法直接执行脚本文件,需要依靠脚本解析的dll,将脚本进行解析之后才能返回相应的内容给浏览器。而httpd.exe在解析php时,会产生动态链接库文件DLL文件,因此通过确认指定目录文件中含有dll文件,便可确认网站服务器正在发生代码解析事件。
可选地,监测网站服务器中的Create File函数包括:监测第一解析进程是否在解析超文本预处理器PHP;获取PHP在访问文件时调用的系统接口,其中,系统接口包括:NtCreate File。
根据上述实施例,httpd.exe在解析php时,通过调用windows的api:函数CreateFileW或函数CreateFileA对脚本文件进行访问,其函数调用栈中会有php5ts.dll(php5)或是php7ts.dll(php7),因此监控httpd.exe的CreateFileW和CreateFileA事件,当前操作指定目录下的文件时,判断函数调用栈中有是否php5ts.dll/php7ts.dll;若有dll文件,则说明httpd.exe正在解析脚本文件,及时进行阻断。
可选的,监测网站服务器的代码解析事件包括:监测网站服务器运行的第二解析进程;在第二解析进程为预设进程时,确定网站服务器正在发生代码解析事件。本实施例的预设进程是可以解析脚本文件的进程,如果当前运行的解析进程解析的是静态文件,如图片,则不会执行代码,也不会进一步对网站服务器造成影响。
在一个可选的实施例中,针对Apache+php组合的另一种模式,php作为独立程序运行,php代码解析主体就变成了php-cgi.exe。该模式中,php-cgi不会去访问图片、静态文件等资源,只会在解析php脚本的时候,去访问相应的php脚本文件,因此通过限制php-cgi.exe不允许操作指定目录下(如上传目录)的文件即可做到阻断php解析。因此,在本实施例中,如果检测到进程php-cgi.exe正在操作指定目录下的文件,则说明网站服务器正在发生代码解析事件。
在另一个可选的实施例中,针对IIS+asp组合的模式,监控IIS的进程w3wp.exe,在调用函数CreateFileW与函数CreateFileA,解析asp时会调用asp.dll,若监控到进程w3wp.exe,则说明进程w3wp.exe正在执行脚本解析。
可选地,在判断代码解析事件解析的脚本文件是否存储在指定目录中之后,还包括:在脚本文件未存储在指定目录中时,放行代码解析事件。
根据上述实施例,判断在Create File的函数调用栈中没有携带dll文件时,则说明其在访问其他资源文件,没有威胁到网站的安全,然后放行。
可选地,在判断代码解析事件解析的脚本文件是否存储在指定目录中之前,还包括:在网站服务器的目录列表中配置指定目录,其中,指定目录中存储的文件禁止解析成代码。
在本实施例中,通过阻断在防御系统部署之后,由管理员配置指定的目录的文件不能够被解析成代码,以防御恶意脚本的执行,因此,在判断代码解析事件解析的脚本文件是否存储在指定目录中之前,首先通过管理员预先配置服务器中的目录列表,将指定目录配置为禁止解析成代码的防护目录。
根据上述实施例,下面结合一种网站的攻击防御方法的具体流程进行简要说明:
图3是根据本发明实施例提供的一种网站的攻击防御方法的具体流程图,如图3所示,包括以下流程:
S301,在部署防御系统之后,管理员配置防护目录,即将上述指定目录配置为目录中存储的文件禁止解析成代码的防护目录;
S303,监控Createfile事件;
S305,判断该事件是否为防护目录下的文件,若否,则放行;若是,则进行步骤S309的判断;
S307,判断函数调用栈中是否有脚本解析的dll,若否,则放行;若是,则继续执行步骤S309;
S309,进行拦截,结束流程。
在服务器进程访问指定目录下的文件时,监控其调用栈中是否有脚本解析的dll,如果有则阻止,从而阻断脚本的执行,而访问其他非脚本的资源的时则不会受影响。
无论攻击者通过什么方式绕过网站的上传防护,成功上传恶意脚本到服务器上,但是通过本方法脚本无法被执行,从而脚本也就没有作用了,使得网站更安全。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种网站的攻击防御的装置,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种网站的攻击防御的装置的结构框图,如图4所示,该装置包括:监测模块402,用于监测网站服务器的代码解析事件;判断模块404,连接至上述监测模块402,用于判断代码解析事件解析的脚本文件是否存储在指定目录中;拦截模块406,连接至上述判断模块404,用于在脚本文件存储在指定目录中时,拦截代码解析事件。
可选的,监测模块402包括:第一监测单元,用于监测网站服务器中的文件创建Create File函数;判断单元,用于判断Create File函数的调用栈中是否携带动态链接库文件DLL文件;第一确定单元,用于在Create File函数的调用栈中携带DLL文件时,确定网站服务器正在发生代码解析事件。
可选的,监测单元包括:监测子单元,用于监测第一解析进程是否在解析超文本预处理器PHP;获取子单元,用于获取PHP在访问文件时调用的系统接口,其中,系统接口包括:Nt Create File。
可选的,监测模块402包括:第二监测单元,用于监测网站服务器运行的第二解析进程;第二确定单元,用于在第二解析进程为预设进程时,确定网站服务器正在发生代码解析事件。
可选的,上述装置还包括:在脚本文件未存储在指定目录中时,放行代码解析事件。
可选的,上述装置还包括:在网站服务器的目录列表中配置指定目录,其中,指定目录中存储的文件禁止解析成代码。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,监测网站服务器的代码解析事件;
S2,判断代码解析事件解析的脚本文件是否存储在指定目录中;
S3,在脚本文件存储在指定目录中时,拦截代码解析事件。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,监测网站服务器的代码解析事件;
S2,判断代码解析事件解析的脚本文件是否存储在指定目录中;
S3,在脚本文件存储在指定目录中时,拦截代码解析事件。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种网站的攻击防御方法,其特征在于,包括:
监测网站服务器的代码解析事件;
判断所述代码解析事件解析的脚本文件是否存储在指定目录中;
在所述脚本文件存储在所述指定目录中时,拦截所述代码解析事件。
2.根据权利要求1所述的方法,其特征在于,监测网站服务器的代码解析事件包括:
监测所述网站服务器中的文件创建Create File函数;
判断所述Create File函数的调用栈中是否携带动态链接库文件DLL文件;
在所述Create File函数的调用栈中携带DLL文件时,确定所述网站服务器正在发生代码解析事件。
3.根据权利要求2所述的方法,其特征在于,监测所述网站服务器中的Create File函数包括:
监测第一解析进程是否在解析超文本预处理器PHP;
获取所述PHP在访问文件时调用的系统接口,其中,所述系统接口包括:Nt CreateFile。
4.根据权利要求1所述的方法,其特征在于,监测网站服务器的代码解析事件包括:
监测所述网站服务器运行的第二解析进程;
在所述第二解析进程为预设进程时,确定所述网站服务器正在发生代码解析事件。
5.根据权利要求1所述的方法,其特征在于,在判断所述代码解析事件解析的脚本文件是否存储在指定目录中之后,所述方法还包括:
在所述脚本文件未存储在所述指定目录中时,放行所述代码解析事件。
6.根据权利要求1所述的方法,其特征在于,在判断所述代码解析事件解析的脚本文件是否存储在指定目录中之前,所述方法还包括:
在所述网站服务器的目录列表中配置所述指定目录,其中,所述指定目录中存储的文件禁止解析成代码。
7.一种网站的攻击防御装置,其特征在于,包括:
监测模块,用于监测网站服务器的代码解析事件;
判断模块,用于判断所述代码解析事件解析的脚本文件是否存储在指定目录中;
拦截模块,用于在所述脚本文件存储在所述指定目录中时,拦截所述代码解析事件。
8.根据权利要求7所述的装置,其特征在于,所述监测模块包括:
第一监测单元,用于监测所述网站服务器中的文件创建Create File函数;
判断单元,用于判断所述Create File函数的调用栈中是否携带动态链接库文件DLL文件;
第一确定单元,用于在所述Create File函数的调用栈中携带DLL文件时,确定所述网站服务器正在发生代码解析事件。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755848.8A CN112395536A (zh) | 2019-08-15 | 2019-08-15 | 网站的攻击防御方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755848.8A CN112395536A (zh) | 2019-08-15 | 2019-08-15 | 网站的攻击防御方法及装置、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112395536A true CN112395536A (zh) | 2021-02-23 |
Family
ID=74601787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755848.8A Pending CN112395536A (zh) | 2019-08-15 | 2019-08-15 | 网站的攻击防御方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112395536A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268475A (zh) * | 2021-12-13 | 2022-04-01 | 北京知道创宇信息技术股份有限公司 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103020524A (zh) * | 2012-12-11 | 2013-04-03 | 北京奇虎科技有限公司 | 计算机病毒监控系统 |
| CN104834869A (zh) * | 2012-08-07 | 2015-08-12 | 北京奇虎科技有限公司 | 一种文件保护处理的方法和装置 |
| US20150379020A1 (en) * | 2014-06-30 | 2015-12-31 | Google Inc. | Automated archiving of user generated media files |
| CN106156616A (zh) * | 2016-06-24 | 2016-11-23 | 武汉斗鱼网络科技有限公司 | 一种网站脚本攻击的防御方法及防御系统 |
| US20170091290A1 (en) * | 2015-09-24 | 2017-03-30 | Mcafee, Inc. | Distributed data query |
-
2019
- 2019-08-15 CN CN201910755848.8A patent/CN112395536A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104834869A (zh) * | 2012-08-07 | 2015-08-12 | 北京奇虎科技有限公司 | 一种文件保护处理的方法和装置 |
| CN103020524A (zh) * | 2012-12-11 | 2013-04-03 | 北京奇虎科技有限公司 | 计算机病毒监控系统 |
| US20150379020A1 (en) * | 2014-06-30 | 2015-12-31 | Google Inc. | Automated archiving of user generated media files |
| US20170091290A1 (en) * | 2015-09-24 | 2017-03-30 | Mcafee, Inc. | Distributed data query |
| CN106156616A (zh) * | 2016-06-24 | 2016-11-23 | 武汉斗鱼网络科技有限公司 | 一种网站脚本攻击的防御方法及防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 袁兵;梁耿;黎祖锋;桂永宏;王睿;: "恶意后门代码审计分析技术", 计算机安全, no. 10 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268475A (zh) * | 2021-12-13 | 2022-04-01 | 北京知道创宇信息技术股份有限公司 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| US9973531B1 (en) | Shellcode detection | |
| Xing et al. | Upgrading your android, elevating my malware: Privilege escalation through mobile os updating | |
| US10581874B1 (en) | Malware detection system with contextual analysis | |
| US20130347111A1 (en) | System and method for detection and prevention of host intrusions and malicious payloads | |
| US20180048660A1 (en) | Launcher for setting analysis environment variations for malware detection | |
| ES2882125T3 (es) | Sistema y procedimiento para identificar ataques en Internet | |
| Mulliner et al. | Poster: Honeydroid-creating a smartphone honeypot | |
| US9998482B2 (en) | Automated network interface attack response | |
| CN110365637B (zh) | 网银登录检测方法、装置、电子设备及存储介质 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| US20230185902A1 (en) | Undetectable sandbox for malware | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| CN108512805B (zh) | 一种网络安全防御方法及网络安全防御装置 | |
| KR102156340B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 | |
| Ramachandran et al. | Android anti-virus analysis | |
| CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
| CN112395536A (zh) | 网站的攻击防御方法及装置、存储介质、电子装置 | |
| CN114861168A (zh) | 一种防逃逸的攻击行为欺骗蜜罐构建方法 | |
| CN106529290B (zh) | 一种恶意软件防护方法、装置以及电子设备 | |
| CN111585981B (zh) | 基于应用防火墙的安全检测方法及相关设备 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| CN112395637A (zh) | 数据库防护方法及装置、存储介质、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |