CN112995180A - 一种降低越权漏洞风险的企业微信应用代理系统 - Google Patents
一种降低越权漏洞风险的企业微信应用代理系统 Download PDFInfo
- Publication number
- CN112995180A CN112995180A CN202110231476.6A CN202110231476A CN112995180A CN 112995180 A CN112995180 A CN 112995180A CN 202110231476 A CN202110231476 A CN 202110231476A CN 112995180 A CN112995180 A CN 112995180A
- Authority
- CN
- China
- Prior art keywords
- application
- enterprise wechat
- access
- agent
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007246 mechanism Effects 0.000 claims abstract description 5
- 230000006837 decompression Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种降低越权漏洞风险的企业微信应用代理系统,包括:部署在外网的企业微信本地版客户端;部署在内网的应用服务器;部署在内网的应用代理,所述应用代理部署在企业微信本地版接入机上,或者部署在独立的应用代理服务器上;所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理,并由应用代理进行代理访问企业微信轻应用服务,并返回结果给企业微信本地版客户端。本发明的企业微信应用代理系统通过部署应用代理之后,企业微信本地版客户端可以通过应用代理安全、可控的访问企业微信轻应用服务,以实现企业微信本地版客户端对企业微信应用或短信、邮件网关等相关服务的代理访问,保证了信息的安全和保密性。
Description
技术领域
本发明涉及一种应用代理系统,特别是涉及一种降低越权漏洞风险的企业微信应用代理系统。
背景技术
目前互联网中存在的最严重的漏洞之一是越权访问这类漏洞,如在URL越权漏洞中,利用URL传入参数的可猜测性,通过变更输入的参数值,就可能造成横向越权访问,拿到他人私有信息。URL越权漏洞是一种危害非常大的业务逻辑漏洞,它可以直接绕过基础的网络安全服务防御,越权漏洞发现难度大。越权漏洞能够被攻击者利用,造成越权访问,导致用户敏感信息的泄漏。
在目前企业微信使用过程中,漏洞出现频繁。其中在一次使用企业微信时,对企业微信6个应用进行安全扫描,共发现严重问题201个、高危问题60个、中危问题79个、低危问题826个。经过大量时间的修正、打补丁,共修复严重问题172个、高危问题35个、低危问题826个,消耗了巨大的人力物力。这些漏洞可以归纳为同一类型漏洞,即用户越权漏洞,存在很大的风险。
因此,在使用企业微信时,无法控制对企业微信本地版客户端对互联网资源的访问。为了信息的安全和保密性,有必要寻找一种降低企业微信内轻应用越权漏洞风险的系统。
发明内容
本发明的目的是针对企业微信内轻应用使用时的信息的安全和保密性,提出一种降低越权漏洞风险的企业微信应用代理系统,以降低越权漏洞风险,实现企业微信本地版的PC和手机客户端通过应用代理安全、可控的访问企业微信轻应用服务。
为实现上述目的,本发明提供了一种降低越权漏洞风险的企业微信应用代理系统,包括:
部署在外网的企业微信本地版客户端;
部署在内网的应用服务器,所述应用服务器提供企业微信轻应用服务;
部署在内网的应用代理,所述应用代理部署在企业微信本地版接入机上,或者部署在独立的应用代理服务器上;所述应用代理提供对应企业微信本地版集群所有企业微信本地版客户端对企业微信轻应用访问的http/https代理,所述应用服务器通过应用网关与应用代理建立连接;
在启用应用代理后,所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理,并由应用代理进行代理访问企业微信轻应用服务,并返回结果给企业微信本地版客户端。
优选地,所述企业微信本地版客户端和应用代理之间使用https加密访问。
优选地,所述应用代理在启用后,将对企业微信轻应用访问的Ticket进行检测,仅代理带有合法Ticket的访问到企业微信轻应用服务上。
优选地,所述应用代理仅在企业微信内H5页面内执行,所述企业微信轻应用页面在企业微信内置的webview内执行。
优选地,所述企业微信应用代理系统的网络访问策略包括:
互联网访问接入服务器的80/443和8080这2个TCP端口;
接入服务器访问互联网的80/8080/443/2195/2196这5个TCP端口;
接入服务器访问存储/逻辑服务器的80/8080这2个TCP端口;
存储/逻辑服务器访问接入服务器80/8081这2个TCP端口;
应用代理服务器到企业微信本地版逻辑存储机的80端口的访问策略;
企业微信本地版客户端到应用代理服务器12569端口的访问策略,以及应用代理服务器到应用服务的访问策略;
接入机前端由F5接入,F5的工作模式配置为透明模式;
当应用代理启用HTTPS代理模式时,用户为应用代理配置证书。
优选地,通过管理端配置启用应用代理的步骤包括:
(1)、在1.3.0-patch3以上的后台版本通过管理端配置:管理工具->应用代理->开启应用代理;
(2)、在内部服务器地址和外部服务器地址分别填写应用代理服务器的内外网域名,保存;
(3)把smartgate.tar.gz上传至接入机/home/wwlocal目录下,执行解压:
cd/home/wwlocal
tar-zxf smartgate.tar.gz
cd/home/wwlocal/wwlops
./SETUPSMARTGATE.sh。
基于上述技术方案,本发明的优点是:
本发明的降低越权漏洞风险的企业微信应用代理系统通过部署应用代理之后,企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务,以实现企业微信本地版客户端对企业微信应用或短信、邮件网关等相关服务的代理访问,保证了信息的安全和保密性。
本发明的企业微信应用代理系统属于轻量级,部署和配置简单,可以和企业微信本地部署版紧密集成,便于一体化部署和管理维护。在后台配置好之后在企业微信客户端可以无感知使用,自动实现加密的隧道访问,不需要单独再开启VPN隧道,且可以支持企业内网和外网有多个复杂网络安全域划分情况下的跨网络安全访问。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为企业微信应用代理系统示意图;
图2为外网客户端在企业微信应用代理系统部署后的访问逻辑图;
图3为办公网客户端在企业微信应用代理系统部署后的访问逻辑图;
图4为管理端配置启用应用代理示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明提供了一种降低越权漏洞风险的企业微信应用代理系统,如图1~图4所示,其中示出了本发明的一种优选实施方式。
应用代理是一个与企业微信本地版相集成的轻量级应用代理服务,工作模式是为企业微信内轻应用访问提供HTTP/HTTPS代理通道。部署应用代理之后,企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务。
如图1所示,所述企业微信应用代理系统包括:部署在外网的企业微信本地版客户端;部署在内网的应用服务器,所述应用服务器提供企业微信轻应用服务;部署在内网的应用代理,所述应用代理部署在企业微信本地版接入机上,或者部署在独立的应用代理服务器上;所述应用代理提供对应企业微信本地版集群所有企业微信本地版客户端对企业微信轻应用访问的http/https代理,所述应用服务器通过应用网关与应用代理建立连接。
在启用应用代理后,所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理,并由应用代理进行代理访问企业微信轻应用服务,并返回结果给企业微信本地版客户端。
本发明的企业微信应用代理系统属于轻量级,部署和配置简单,可以和企业微信本地部署版紧密集成,便于一体化部署和管理维护。在后台配置好之后在企业微信客户端可以无感知使用,自动实现加密的隧道访问,不需要单独再开启VPN隧道,无需安装VPN软件,也不需要单独购买VPN服务;且可以支持企业内网和外网有多个复杂网络安全域划分情况下的跨网络安全访问。
所述企业微信应用代理系统提供对应企业微信本地版集群所有终端对应用访问的http/https代理。优选地,所述企业微信本地版客户端和应用代理之间使用https加密访问。由于是应用代理,其仅在企业微信内H5页面内执行,所述企业微信轻应用页面在企业微信内置的webview内执行。
进一步,所述应用代理在启用后,将对企业微信轻应用访问的Ticket进行检测,仅代理带有合法Ticket的访问到企业微信轻应用服务上。
以往应用的访问方式是企业微信本地版客户端直接访问应用服务器,为了能正常访问,需要开通PC、移动客户端到应用服务的网络访问策略;同时无法控制对企业微信本地版客户端对互联网资源的访问,有一定的安全隐患。所述企业微信应用代理系统启用应用代理后,企业微信本地版客户端内嵌的代理机制会引导流量只访问应用代理,并由应用代理代理访问具体应用,并返回结果给客户端,因此可以对应用进行一定程度的管控,其采用的是收拢应用访问策略。
目前常见场景为客户有内外网多套环境网络,不同网络间有严格的访问隔离。为了信息的安全和保密性,企业微信应用代理系统中应用部署在内网,而外网企业微信本地版移动端并不能直接访问内网应用,此时可通过应用代理做代理实现外网到内网应用的访问。
优选地,所述企业微信应用代理系统的网络访问策略包括:
互联网访问接入服务器的80/443,和8080这2个TCP端口;
接入服务器访问互联网的80/8080/443/2195/2196这5个TCP端口;
接入服务器访问存储/逻辑服务器的80/8080这2个TCP端口;
存储/逻辑服务器访问接入服务器80/8081这2个TCP端口;
应用代理服务器到企业微信本地版逻辑存储机的80端口的访问策略;
企业微信本地版客户端到应用代理服务器12569端口的访问策略,以及应用代理服务器到应用服务的访问策略;
接入机前端由F5接入,F5的工作模式需要配置为透明模式(4层)而非透传或代理模式(7层);
当应用代理启用HTTPS代理模式时,用户为应用代理配置证书;
如图2、图3所示,其分别显示了外网客户端在企业微信应用代理系统部署后的访问逻辑图和办公网客户端在企业微信应用代理系统部署后的访问逻辑图。
应用代理在部署时,在所有逻辑服务器上通过管理端启用配置应用代理服务的步骤包括:
(1)、1.3.0-patch3以上的后台版本支持应用代理。默认情况下应用代理不启用,若需要启用应用代理,可以通过管理端来配置。在1.3.0-patch3以上的后台版本通过管理端配置:管理工具->应用代理->开启应用代理。
(2)、在内部服务器地址和外部服务器地址分别填写应用代理服务器的内外网域名,保存,如图4所示。
(3)把smartgate.tar.gz上传至接入机/home/wwlocal目录下,执行解压:
cd/home/wwlocal
tar-zxf smartgate.tar.gz
cd/home/wwlocal/wwlops
./SETUPSMARTGATE.sh。
至此应用代理服务全部部署完。
以下进一步对应用代理配置进行说明:
在本实施例中,应用代理部署路径为/home/wwlocal/smartgate,其中conf/settings.json为应用代理HTTP代理配置文件,conf/config.json为应用代理HTTPS代理配置文件。
conf/settings.json如下:
conf/config.json如下:
应用代理的日志配置说明如下:
verfiy st日志,该日志记录了每个请求的ST验证结果:
| 字段序号 | 字段说明 | 样例数据 |
| 0 | 日志时间,格式:yyyy-MM-dd HH:mm:ss.fff | 2018-05-10 17:45:33.321 |
| 1 | 请求目标 | xx.oa.com:443 |
| 2 | 客户端IP | 10.0.0.1 |
| 3 | 票据(ST)验证结果 | st not found |
| 4 | 是否允许连接的结果 | aborted |
decrypt_st日志,该日志记录了每个新ST的解密验证结果,解密后智能网关会缓存结果:
本发明的降低越权漏洞风险的企业微信应用代理系统通过部署应用代理之后,企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务,以实现企业微信本地版客户端对企业微信应用或短信、邮件网关等相关服务的代理访问,保证了信息的安全和保密性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (6)
1.一种降低越权漏洞风险的企业微信应用代理系统,其特征在于,包括:
部署在外网的企业微信本地版客户端;
部署在内网的应用服务器,所述应用服务器提供企业微信轻应用服务;
部署在内网的应用代理,所述应用代理部署在企业微信本地版接入机上,或者部署在独立的应用代理服务器上;所述应用代理提供对应企业微信本地版集群所有企业微信本地版客户端对企业微信轻应用访问的http/https代理,所述应用服务器通过应用网关与应用代理建立连接;
在启用应用代理后,所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理,并由应用代理进行代理访问企业微信轻应用服务,并返回结果给企业微信本地版客户端。
2.根据权利要求1所述的企业微信应用代理系统,其特征在于:所述企业微信本地版客户端和应用代理之间使用https加密访问。
3.根据权利要求1所述的企业微信应用代理系统,其特征在于:所述应用代理在启用后,将对企业微信轻应用访问的Ticket进行检测,仅代理带有合法Ticket的访问到企业微信轻应用服务上。
4.根据权利要求1所述的企业微信应用代理系统,其特征在于:所述应用代理仅在企业微信内H5页面内执行,所述企业微信轻应用页面在企业微信内置的webview内执行。
5.根据权利要求1所述的企业微信应用代理系统,其特征在于:所述企业微信应用代理系统的网络访问策略包括:
互联网访问接入服务器的80/443和8080这2个TCP端口;
接入服务器访问互联网的80/8080/443/2195/2196这5个TCP端口;
接入服务器访问存储/逻辑服务器的80/8080这2个TCP端口;
存储/逻辑服务器访问接入服务器80/8081这2个TCP端口;
应用代理服务器到企业微信本地版逻辑存储机的80端口的访问策略;
企业微信本地版客户端到应用代理服务器12569端口的访问策略,以及应用代理服务器到应用服务的访问策略;
接入机前端由F5接入,F5的工作模式配置为透明模式;
当应用代理启用HTTPS代理模式时,用户为应用代理配置证书。
6.根据权利要求1所述的企业微信应用代理系统,其特征在于:通过管理端启用配置应用代理的步骤包括:
(1)、在1.3.0-patch3以上的后台版本通过管理端配置:管理工具->应用代理->开启应用代理;
(2)、在内部服务器地址和外部服务器地址分别填写应用代理服务器的内外网域名,保存;
(3)把smartgate.tar.gz上传至接入机/home/wwlocal目录下,执行解压:
cd/home/wwlocal
tar-zxf smartgate.tar.gz
cd/home/wwlocal/wwlops
./SETUPSMARTGATE.sh。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110231476.6A CN112995180A (zh) | 2021-03-02 | 2021-03-02 | 一种降低越权漏洞风险的企业微信应用代理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110231476.6A CN112995180A (zh) | 2021-03-02 | 2021-03-02 | 一种降低越权漏洞风险的企业微信应用代理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112995180A true CN112995180A (zh) | 2021-06-18 |
Family
ID=76352083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110231476.6A Pending CN112995180A (zh) | 2021-03-02 | 2021-03-02 | 一种降低越权漏洞风险的企业微信应用代理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995180A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
| CN105187430A (zh) * | 2015-09-18 | 2015-12-23 | 浪潮通用软件有限公司 | 一种反向代理服务器、反向代理系统和方法 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN109218368A (zh) * | 2017-07-05 | 2019-01-15 | 北京京东尚科信息技术有限公司 | 实现Http反向代理的方法、装置、电子设备和可读介质 |
| CN111049728A (zh) * | 2019-11-22 | 2020-04-21 | 赵伟 | 一种基于企业微信的移动综合办公系统 |
| CN111130990A (zh) * | 2019-11-22 | 2020-05-08 | 李子乾 | 一种移动综合办公系统 |
| US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
-
2021
- 2021-03-02 CN CN202110231476.6A patent/CN112995180A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
| CN105187430A (zh) * | 2015-09-18 | 2015-12-23 | 浪潮通用软件有限公司 | 一种反向代理服务器、反向代理系统和方法 |
| CN109218368A (zh) * | 2017-07-05 | 2019-01-15 | 北京京东尚科信息技术有限公司 | 实现Http反向代理的方法、装置、电子设备和可读介质 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
| CN111049728A (zh) * | 2019-11-22 | 2020-04-21 | 赵伟 | 一种基于企业微信的移动综合办公系统 |
| CN111130990A (zh) * | 2019-11-22 | 2020-05-08 | 李子乾 | 一种移动综合办公系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606338B2 (en) | Mid-link server having a plurality of access resource servers for policy control | |
| US11652797B2 (en) | Secure application access systems and methods via a lightweight connector and a cloud-based system | |
| US11838299B2 (en) | Cloud-based web content processing system providing client threat isolation and data integrity | |
| US20210234860A1 (en) | Securing local network traffic using cloud computing | |
| US11652792B2 (en) | Endpoint security domain name server agent | |
| US8560709B1 (en) | System and method for dynamic policy based access over a virtual private network | |
| US10044719B2 (en) | Client application based access control in cloud security systems for mobile devices | |
| US9258308B1 (en) | Point to multi-point connections | |
| US20210336934A1 (en) | Cloud-based web application and API protection | |
| JP7393514B2 (ja) | モバイルデバイスの効率的なサイバー保護のための方法およびシステム | |
| US8997208B2 (en) | Gateway device for terminating a large volume of VPN connections | |
| US9674173B2 (en) | Automatic certificate enrollment in a special-purpose appliance | |
| US9762604B2 (en) | Automatically detecting and correcting missing and misconfigured security attributes | |
| US10587579B2 (en) | Varying encryption level of traffic through network tunnels | |
| US9473298B2 (en) | Simplifying IKE process in a gateway to enable datapath scaling using a two tier cache configuration | |
| US7987264B1 (en) | Testing policies in a network | |
| US20230247003A1 (en) | Zero trust private application access for government applications | |
| US20230019448A1 (en) | Predefined signatures for inspecting private application access | |
| CN110971622A (zh) | 一种公网应用系统与内网应用系统间双向访问方法及系统 | |
| US20230015603A1 (en) | Maintaining dependencies in a set of rules for security scanning | |
| CN112995180A (zh) | 一种降低越权漏洞风险的企业微信应用代理系统 | |
| US10079812B1 (en) | Secure content storage by customer-premises equipment | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| GB2606137A (en) | Controlling command execution in a computer network | |
| US20230231884A1 (en) | Browser fingerprinting and control for session protection and private application protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210618 |