CN113542287A - 网络请求的管理方法和装置 - Google Patents
网络请求的管理方法和装置 Download PDFInfo
- Publication number
- CN113542287A CN113542287A CN202110822822.8A CN202110822822A CN113542287A CN 113542287 A CN113542287 A CN 113542287A CN 202110822822 A CN202110822822 A CN 202110822822A CN 113542287 A CN113542287 A CN 113542287A
- Authority
- CN
- China
- Prior art keywords
- request
- service request
- potential safety
- safety hazard
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title description 6
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000002347 injection Methods 0.000 claims description 13
- 239000007924 injection Substances 0.000 claims description 13
- 230000006399 behavior Effects 0.000 abstract description 16
- 238000001914 filtration Methods 0.000 description 9
- 238000012795 verification Methods 0.000 description 8
- 239000000243 solution Substances 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000013515 script Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002040 relaxant effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了网络请求的管理方法和装置,该方法包括:获取由客户端发送的服务请求;其中,服务请求用于访问对应的服务器;判断服务请求是否存在安全隐患;若服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;若服务请求存在安全隐患,则拒绝客户端发送的该服务请求。本方案能够对不安全的网络请求行为进行防御。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及网络请求的管理方法和装置。
背景技术
随着网络技术的迅速发展,浏览器可实现的功能越来越强,这导致潜在的危险和可实现的网络攻击方式也越来越多。比如,攻击者通过伪造客户端的浏览器请求即可非法获取服务器的数据。再比如,攻击者通过篡改客户请求即可获得非法利益等。
因此,互联网技术为用户带来了便利的同时,多种多样的网络攻击方式和攻击手段为用户带来的网络威胁,也为用户造成了非常大的网络安全隐患。
发明内容
本发明提供了网络请求的管理方法和装置,能够对不安全的网络请求行为进行防御。
第一方面,本发明实施例提供了网络请求的管理方法,包括:
获取由客户端发送的服务请求;其中,所述服务请求用于访问对应的服务器;
判断所述服务请求是否存在安全隐患;
若所述服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;
若所述服务请求存在安全隐患,则拒绝所述客户端发送的该服务请求。
在一种可能的实现方式中,所述判断所述服务请求是否存在安全隐患的步骤包括:
获取所述服务请求的第一请求头信息中包含的引用来源Referer字段;
判断所述Referer字段对应的地址是否在配置的访问所述服务器的安全域名列表中;
若所述Referer字段对应的地址在配置的访问所述服务器的安全域名列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述Referer字段对应的地址不在配置的访问所述服务器的安全域名列表中,则确定所述服务请求存在跨站请求伪造的安全隐患。
在一种可能到的实现方式中,所述判断所述服务请求是否存在安全隐患的步骤包括:
确定所述服务请求的请求方式;
判断所述请求方式是否在预先配置的访问所述服务器的安全请求方式列表中;
若所述请求方式在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述请求方式不在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求存在动词篡改的认证旁路攻击的安全隐患。
在一种可能的实现方式中,所述判断所述服务请求是否存在安全隐患的步骤包括:
获取所述服务请求的第一请求头信息;
根据所述请求头信息判断所述服务请求是否存在跨域资源共享的安全隐患;
当所述服务请求为跨域资源共享的安全隐患时,所述将该服务请求发送给所要访问的服务器,包括:
根据预先设定的格式,对所述第一请求头信息进行重新设置,得到第二请求头信息;
将所述第二请求头信息作为所述服务请求的请求头信息发送给所要访问的服务器。
在一种可能的实现方式中,所述判断所述服务请求是否存在安全隐患,包括:
确定能对所述服务请求造成安全隐患的危险字符;
判断所述服务请求中是否包含所述危险字符;
若所述服务请求中包含所述危险字符,则确定所述服务请求存在注入类攻击的安全隐患;
若所述服务请求中不包含所述危险字符,则确定所述服务请求为不存在安全隐患的服务请求。
在一种可能的实现方式中,所述判断所述服务请求中是否包含所述危险字符的步骤包括:
判断所述服务请求的请求方式;
若所述服务请求的请求方式为数据获取请求时,验证所述服务请求的统一资源地址URL中是否包含危险字符;
若所述服务请求的请求方式为数据发送请求时,获取所述服务请求的数据类型,并根据该数据类型采取相应的危险字符确定方式确定所述服务请求中是否包含所述危险字符。
第二方面,本发明实施例还提供了一种网络请求的管理装置,包括:获取模块、判断模块和执行模块;
所述获取模块,用于获取由客户端发送的服务请求;其中,所述服务请求用于访问对应的服务器;
所述判断模块,用于判断所述获取模块获取到的所述服务请求是否存在安全隐患;
所述执行模块,用于若所述判断模块判断出所述服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;若所述服务请求存在安全隐患,则拒绝所述客户端发送的该服务请求。
在一种可能的实现方式中,所述判断模块用于执行如下操作:
获取所述服务请求的第一请求头信息中包含的引用来源Referer字段;
判断所述Referer字段对应的地址是否在配置的访问所述服务器的安全域名列表中;
若所述Referer字段对应的地址在配置的访问所述服务器的安全域名列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述Referer字段对应的地址不在配置的访问所述服务器的安全域名列表中,则确定所述服务请求存在跨站请求伪造的安全隐患。
在一种可能的实现方式中,所述判断模块用于执行如下操作:
确定所述服务请求的请求方式;
判断所述请求方式是否在预先配置的访问所述服务器的安全请求方式列表中;
若所述请求方式在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述请求方式不在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求存在动词篡改的认证旁路攻击的安全隐患。
在一种可能的实现方式中,所述判断模块用于执行如下操作:
获取所述服务请求的第一请求头信息;
根据所述请求头信息判断所述服务请求是否存在跨域资源共享的安全隐患;
所述执行模块用于执行如下操作:
根据预先设定的格式,对所述第一请求头信息进行重新设置,得到第二请求头信息;
将所述第二请求头信息作为所述服务请求的请求头信息发送给所要访问的服务器。
由上述技术方案可知,在对网络请求进行管理时,首先获取由客户端发送的用于访问对应的服务器的服务请求,然后对该服务请求是否存在安全隐患进行判断,若该服务请求不存在安全隐患,则可以将该服务请求发送给所要访问的服务器。若该服务器存在安全隐患,即该服务请求中可能存在具有安全风险的网络攻击行为,因此拒绝该客户端发送的服务请求。由此可见,本方案在对客户端发送的服务请求进行响应之前,首先对该服务请求是否存在安全隐患进行判断,如此能够对存在安全隐患的服务请求进行过滤,抵御网络请求中的不安全行为,从而提升网络空间的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种网络请求的管理方法的流程图;
图2是本发明一个实施例提供的一种安全隐患判断方法的流程图;
图3是本发明一个实施例提供的另一种安全隐患判断方法的流程图;
图4是本发明一个实施例提供的又一种安全隐患判断方法的流程图;
图5是本发明一个实施例提供的一种网络请求的管理装置的示意图。
具体实施方式
如前所述,随着网络技术的迅速发展,网络被广泛应用到了各个领域。比如在网络模式中,B/S(浏览器/服务器)结构的应用越来越广泛,客户端只需要安装web浏览器,通过浏览器即可实现同服务器端的交互,获取用户信息。
然而,随着浏览器可实现的功能越来越强,潜在的危险和可实现的网络攻击方式也越来越多。比如,攻击者通过伪造客户端的浏览器请求即可非法获取服务器的数据。再比如,攻击者通过篡改客户请求即可获得非法利益等。攻击方式多种多样,不同的攻击手段及造成的影响也不尽相同,以结构化查询语言SQL注入、跨站点脚本编制、跨站请求伪造等为代表的网络攻击行为为用户造成了非常大的网络安全隐患。
基于此,本方案考虑在对客户端的服务请求进行响应之前,首先通过对该服务请求的安全性进行判断,从而将存在网络安全隐患的服务请求进行过滤,实现抵御网络请求中不安全行为的目的。为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种网络请求的管理方法,该方法可以包括如下步骤:
步骤101:获取由客户端发送的服务请求;其中,服务请求用于访问对应的服务器;
步骤102:判断服务请求是否存在安全隐患;
步骤103:若服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;
步骤104:若服务请求存在安全隐患,则拒绝客户端发送的该服务请求。
本发明实施例中,在对网络请求进行管理时,首先获取由客户端发送的用于访问对应的服务器的服务请求,然后对该服务请求是否存在安全隐患进行判断,若该服务请求不存在安全隐患,则可以将该服务请求发送给所要访问的服务器。若该服务器存在安全隐患,即该服务请求中可能存在具有安全风险的网络攻击行为,因此拒绝该客户端发送的服务请求。由此可见,本方案在对客户端发送的服务请求进行响应之前,首先对该服务请求是否存在安全隐患进行判断,如此能够对存在安全隐患的服务请求进行过滤,抵御网络请求中的不安全行为,从而提升网络空间的安全性。
步骤102在判断服务请求是否存在安全隐患时,可以考虑预先配置存在安全隐患的网络请求行为。比如可以通过对服务请求中的请求头信息和请求方式的内容、格式、数据类型等进行安全定义,配置出哪些类型的服务请求是安全的,哪些是存在安全隐患的,如此实现对客户端发送的服务请求进行过滤。
具体实施时,可以将本发明的方法配置到服务端的安全过滤器中,通过拦截所有从客户端发往服务端的请求,并对请求进行分析过滤。当请求中识别出危险攻击行为或不符合定义的过滤规则时,则对请求进行处理,不允许发送到服务器后台;若请求中没有识别出攻击行为时,则可正常发送到服务器后台,从而实现抵御网络请求中不安全行为的目的。
在步骤102判断服务请求是否存在安全隐患时,在一种可能的实现方式中,如图2所示,该判断方式可以通过如下步骤实现:
步骤201:获取服务请求的第一请求头信息中包含的引用来源Referer字段;
步骤202:判断Referer字段对应的地址是否在配置的访问服务器的安全域名列表中;
步骤203:若Referer字段对应的地址在配置的访问服务器的安全域名列表中,则确定服务请求为不存在安全隐患的服务请求;
步骤204:若Referer字段对应的地址不在配置的访问服务器的安全域名列表中,则确定服务请求存在跨站请求伪造的安全隐患。
跨站请求伪造(Cross-site request forgery,CSRF)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地说,CSRF利用的就是网站对用户网页浏览器的信任。HTTP请求的头信息中包含Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下,而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,这时候服务器就能识别出恶意的访问。
因此,本实施例通过拦截所有HTTP请求,获取请求的Referer字段,若该字段对应的服务器域名与要访问的当前服务器域名相同,则通过验证。同时,在保证安全的同时,为满足多服务器协同应用的场景,可以提供配置允许访问本服务器的域名列表,若请求的Referer字段对应的服务器域名在配置的域名列表中,也可通过验证。
基于此,本实施例在判断服务请求是否存在安全隐患时,首先考虑获取服务请求的请求头中包含的引用来源Referer字段,然后判断该字段对应的地址是否在预先配置的访问服务器的安全域名列表中,如果在,在说明该服务请求是安全的,则可以根据该服务请求访问服务器。如果不在,则说明该服务请求存在安全隐患,同时可以确定该安全隐患的类型为跨站请求伪造的安全隐患。由此可见,本实施通过对请求头信息中的Referer字段进行分析,实现了对跨站请求伪造的安全隐患进行过滤的目的,同时也确定出了服务请求的安全隐患类型,从而为后续进行网络安全配置提供的参考依据。
在步骤102判断服务请求是否存在安全隐患时,在另一种可能的实现方式中,如图3所示,该判断方式还可以通过如下步骤实现:
步骤301:确定服务请求的请求方式;
步骤302:判断请求方式是否在预先配置的访问服务器的安全请求方式列表中;
步骤303:若请求方式在预先配置的访问服务器的安全请求方式列表中,则确定服务请求为不存在安全隐患的服务请求;
步骤304:若请求方式不在预先配置的访问服务器的安全请求方式列表中,则确定服务请求存在动词篡改的认证旁路攻击的安全隐患。
本实施例在判断服务请求是否存在安全隐患时,可以考虑首先确定服务请求的请求方式,然后判断该请求方式是否在预先配置的访问服务器的安全请求方式列表中,如果在列表中,则可以确定该服务请求不存在安全隐患,可以访问服务器。如果不在列表中,则说明该服务请求存在安全隐患,且该安全隐患的类型为动词篡改的认证旁路攻击行为。如此,本实施例不仅实现了对存在安全隐患的服务请求进行过滤的目的,而且确定处理安全隐患的类型,对于后续进行安全隐患类型的统计以及有针对性的进行安全防御能够起到积极作用。
对于请求方式,HTTP1.0定义了三种请求方式:GET,POST和HEAD方式。HTTP1.1新增了五种请求方式:OPTIONS,PUT,DELETE,TRACE和CONNECT方式。
使用HTTP动词篡改的认证旁路攻击,即使用不安全的请求方式进行攻击的行为中。通常认为只有GET请求和POST请求是安全的请求方式。因此,本实施例可以考虑拦截所有HTTP请求,获取并验证请求的方式,若请求方式不是GET或POST,则认为是不安全的请求。当然,有的WEB应用系统,在发送某些请求时未提高效率等原因,需要发送除GET和POST之外的请求。为满足不同应用系统的需求,本实施例提供了配置的请求方式的情况,允许配置可通过验证的请求方式,从而增大应用范围。
在一种可能的实现方式中,步骤102在判断服务请求是否存在安全隐患时,还可以包括:
获取服务请求的第一请求头信息;
根据请求头信息判断服务请求是否存在跨域资源共享的安全隐患;
进一步,当该服务请求存在跨域资源共享的安全隐患时,步骤103将该服务请求发送给所要访问的服务器的步骤可以包括:
根据预先设定的格式,对第一请求头信息进行重新设置,得到第二请求头信息;
将第二请求头信息作为服务请求的请求头信息发送给所要访问的服务器。
跨域资源共享,是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制,以使不同的网站可以跨域获取数据。
在本发明实施例中,首先考虑获取服务请求的请求头信息,然后根据该请求头信息判断该服务请求是否存在跨域资源共享的安全隐患,当存在时,根据预先设定的格式,对请求头信息进行重新设置,然后将重新设置后的请求头信息作为服务请求的请求头信息发送给服务器,以实现对服务器的访问。由此可见,本方案通过重新设置请求头信息的方式,避免了攻击者通过跨域资源共享的方式泄露服务器的数据。
比如,本实施例在校验服务请求的头信息时,可以考虑将请求头的信息重新设置为Access-Control-Allow-Origin和Access-Control-Allow-Credentials的方式,避免攻击者通过跨域资源共享漏洞非法获取数据。
在步骤102判断服务请求是否存在安全隐患时,在又一种可能的实现方式中,如图4所示,该判断方式还可以通过如下步骤实现:
步骤401:确定能对服务请求造成安全隐患的危险字符;
步骤402:判断服务请求中是否包含危险字符;
步骤403:若服务请求中包含危险字符,则确定服务请求存在注入类攻击的安全隐患;
步骤404:若服务请求中不包含危险字符,则确定服务请求为不存在安全隐患的服务请求。
在本发明实施例中,考虑通过验证服务请求中是否包含危险字符的方式,验证该服务请求是否存在注入类攻击的安全隐患,从而实现对该注入类安全隐患的防御。
对于注入类的攻击为,一般可以包括SQL注入、SQL盲注、XSS跨站点脚本编制、跨站请求伪造等,以及通过注入SQL或脚本,引起的其他安全漏洞和攻击行为。
其中,通过在请求的统一资源地址(Uniform Resource Locator,URL)和参数中注入攻击的方式,是最常见的网络攻击方式,也会引起不同的危害。如SQL注入是通过将SQL命令插入到请求中发送到服务器,最终达到欺骗服务器执行恶意SQL命令或获取非授权数据。XSS跨站点脚本编制是攻击者在请求中嵌入脚本语句,从而在客户端执行恶意脚本,脚本中经常携带恶意网站、木马等。
具体地,步骤402在判断服务请求中是否包含危险字符时,可以通过如下方式进行判断:
判断服务请求的请求方式;
若服务请求的请求方式为数据获取请求时,验证服务请求的统一资源地址URL中是否包含危险字符;
若服务请求的请求方式为数据发送请求时,获取服务请求的数据类型,并根据该数据类型采取相应的危险字符确定方式确定服务请求中是否包含危险字符。
本发明通过提供危险字符过滤机制,并且可配置所有可能引起攻击行为的危险字符,包括危险的SQL关键字、脚本语句关键字等。通过拦截所有客户端发送的请求,对请求的URL地址、所有的参数、部分请求头信息进行验证,看是否包含危险字符,若包含危险字符,则不允许请求发送到后台,从而实现对注入类攻击行为的防御。
比如,在根据请求类型的不同,采用不同的过滤机制时,可以包括如下方式:
1)若请求是数据获取GET请求时,请求的参数会包含在请求URL中,因此只需要通过验证请求URL中是否包含危险字符即可。
2)若请求是数据发送POST请求,则需要判断请求的数据类型Content-Type,并根据不同的Content-Type采用不同的过滤策略。
3)若请求是POST请求,且请求的Content-Type为application/x-www-form-urlencoded时,请求的参数数据会以键/值key/value的格式发送到服务器,验证方法是获取请求所有的key/value键值对,并验证value中是否包含危险字符。
4)若请求是POST请求,且请求的Content-Type为application/json时,请求的参数数据会以JSON的格式发送到服务器,要读取请求参数数据时,需要从请求的数据流中获取,读取请求的数据流并验证其中是否包含危险字符。
5)若请求是POST请求,且请求的Content-Type为multipart/form-data时,通常是通过表单进行文件上传,请求的参数数据和文件也是会以数据流的形式发送到服务器。此类请求需要验证两部分内容;请求参数数据和上传的文件,都是从请求的数据流中获取。验证上传的文件时,获取文件中的内容,然后验证内容中是否包含危险字符。
6)若请求是POST请求,且请求的Content-Type为application/json或multipart/form-data时,验证过程中会读取请求中数据流的内容。由于请求中的数据流只能读取一次,因此在验证这两种请求时采用的策略为:在验证前,先复制该请求,复制内容包括请求中的数据流、头信息和其他属性。然后对原请求进行过滤验证,即验证是否包含危险字符,验证完后用复制的请求继续向后发送。
7)根据不同的请求类型,需发送符合一定规范的字符,此类字符在普通请求中可视为危险字符,但在此类请求中需特殊处理。如果请求是POST请求,且请求的Content-Type为multipart/form-data时,请求中会包含大量“;”、“--”等SQL和脚本常用字符,因此过滤时对此类字符进行排除处理后进行验证。
如图5所示,本发明实施例还提供了一种网络请求的管理装置,该装置可以包括:获取模块501、判断模块502和执行模块503;
获取模块501,用于获取由客户端发送的服务请求;其中,服务请求用于访问对应的服务器;
判断模块502,用于判断获取模块501获取到的服务请求是否存在安全隐患;
执行模块503,用于若判断模块502判断出服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;若服务请求存在安全隐患,则拒绝客户端发送的该服务请求。
在一种可能的实现方式中,判断模块502用于执行如下操作:
获取服务请求的第一请求头信息中包含的引用来源Referer字段;
判断Referer字段对应的地址是否在配置的访问服务器的安全域名列表中;
若Referer字段对应的地址在配置的访问服务器的安全域名列表中,则确定服务请求为不存在安全隐患的服务请求;
若Referer字段对应的地址不在配置的访问服务器的安全域名列表中,则确定服务请求存在跨站请求伪造的安全隐患。
在一种可能的实现方式中,判断模块502用于执行如下操作:
确定服务请求的请求方式;
判断请求方式是否在预先配置的访问服务器的安全请求方式列表中;
若请求方式在预先配置的访问服务器的安全请求方式列表中,则确定服务请求为不存在安全隐患的服务请求;
若请求方式不在预先配置的访问服务器的安全请求方式列表中,则确定服务请求存在动词篡改的认证旁路攻击的安全隐患。
在一种可能的实现方式中,判断模块502用于执行如下操作:
获取服务请求的第一请求头信息;
根据请求头信息判断服务请求是否存在跨域资源共享的安全隐患;
执行模块503用于执行如下操作:
根据预先设定的格式,对第一请求头信息进行重新设置,得到第二请求头信息;
将第二请求头信息作为服务请求的请求头信息发送给所要访问的服务器。
在一种可能的实现方式中,判断模块502用于执行如下操作:
确定能对服务请求造成安全隐患的危险字符;
判断服务请求中是否包含危险字符;
若服务请求中包含危险字符,则确定服务请求存在注入类攻击的安全隐患;
若服务请求中不包含危险字符,则确定服务请求为不存在安全隐患的服务请求。
在一种可能的实现方式中,判断模块502用于执行如下操作:
判断服务请求的请求方式;
若服务请求的请求方式为数据获取请求时,验证服务请求的统一资源地址URL中是否包含危险字符;
若服务请求的请求方式为数据发送请求时,获取服务请求的数据类型,并根据该数据类型采取相应的危险字符确定方式确定服务请求中是否包含危险字符。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本方案中任一个实施例中的方法。
本说明书还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现本方案中任一个实施例中的方法。
可以理解的是,本方案实施例示意的结构并不构成对网络请求的管理装置的具体限定。在说明书的另一些实施例中,网络请求的管理装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本方案方法实施例基于同一构思,具体内容可参见本方案方法实施例中的叙述,此处不再赘述。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本方案所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本方案描述的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.网络请求的管理方法,其特征在于,包括:
获取由客户端发送的服务请求;其中,所述服务请求用于访问对应的服务器;
判断所述服务请求是否存在安全隐患;
若所述服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;
若所述服务请求存在安全隐患,则拒绝所述客户端发送的该服务请求。
2.根据权利要求1所述的方法,其特征在于,所述判断所述服务请求是否存在安全隐患的步骤包括:
获取所述服务请求的第一请求头信息中包含的引用来源Referer字段;
判断所述Referer字段对应的地址是否在配置的访问所述服务器的安全域名列表中;
若所述Referer字段对应的地址在配置的访问所述服务器的安全域名列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述Referer字段对应的地址不在配置的访问所述服务器的安全域名列表中,则确定所述服务请求存在跨站请求伪造的安全隐患。
3.根据权利要求1所述的方法,其特征在于,所述判断所述服务请求是否存在安全隐患的步骤包括:
确定所述服务请求的请求方式;
判断所述请求方式是否在预先配置的访问所述服务器的安全请求方式列表中;
若所述请求方式在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述请求方式不在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求存在动词篡改的认证旁路攻击的安全隐患。
4.根据权利要求1所述的方法,其特征在于,所述判断所述服务请求是否存在安全隐患的步骤包括:
获取所述服务请求的第一请求头信息;
根据所述请求头信息判断所述服务请求是否存在跨域资源共享的安全隐患;
当所述服务请求为跨域资源共享的安全隐患时,所述将该服务请求发送给所要访问的服务器,包括:
根据预先设定的格式,对所述第一请求头信息进行重新设置,得到第二请求头信息;
将所述第二请求头信息作为所述服务请求的请求头信息发送给所要访问的服务器。
5.根据权利要求1至4中任一所述的方法,其特征在于,所述判断所述服务请求是否存在安全隐患,包括:
确定能对所述服务请求造成安全隐患的危险字符;
判断所述服务请求中是否包含所述危险字符;
若所述服务请求中包含所述危险字符,则确定所述服务请求存在注入类攻击的安全隐患;
若所述服务请求中不包含所述危险字符,则确定所述服务请求为不存在安全隐患的服务请求。
6.根据权利要求5所述的方法,其特征在于,所述判断所述服务请求中是否包含所述危险字符的步骤包括:
判断所述服务请求的请求方式;
若所述服务请求的请求方式为数据获取请求时,验证所述服务请求的统一资源地址URL中是否包含危险字符;
若所述服务请求的请求方式为数据发送请求时,获取所述服务请求的数据类型,并根据该数据类型采取相应的危险字符确定方式确定所述服务请求中是否包含所述危险字符。
7.网络请求的管理装置,其特征在于,包括:获取模块、判断模块和执行模块;
所述获取模块,用于获取由客户端发送的服务请求;其中,所述服务请求用于访问对应的服务器;
所述判断模块,用于判断所述获取模块获取到的所述服务请求是否存在安全隐患;
所述执行模块,用于若所述判断模块判断出所述服务请求不存在安全隐患,则将该服务请求发送给所要访问的服务器;若所述服务请求存在安全隐患,则拒绝所述客户端发送的该服务请求。
8.根据权利要求7所述的装置,其特征在于,所述判断模块用于执行如下操作:
获取所述服务请求的第一请求头信息中包含的引用来源Referer字段;
判断所述Referer字段对应的地址是否在配置的访问所述服务器的安全域名列表中;
若所述Referer字段对应的地址在配置的访问所述服务器的安全域名列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述Referer字段对应的地址不在配置的访问所述服务器的安全域名列表中,则确定所述服务请求存在跨站请求伪造的安全隐患。
9.根据权利要求7所述的装置,其特征在于,所述判断模块用于执行如下操作:
确定所述服务请求的请求方式;
判断所述请求方式是否在预先配置的访问所述服务器的安全请求方式列表中;
若所述请求方式在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求为不存在安全隐患的服务请求;
若所述请求方式不在预先配置的访问所述服务器的安全请求方式列表中,则确定所述服务请求存在动词篡改的认证旁路攻击的安全隐患。
10.根据权利要求要求7所述的装置,其特征在于,所述判断模块用于执行如下操作:
获取所述服务请求的第一请求头信息;
根据所述请求头信息判断所述服务请求是否存在跨域资源共享的安全隐患;
所述执行模块用于执行如下操作:
根据预先设定的格式,对所述第一请求头信息进行重新设置,得到第二请求头信息;
将所述第二请求头信息作为所述服务请求的请求头信息发送给所要访问的服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110822822.8A CN113542287A (zh) | 2021-07-21 | 2021-07-21 | 网络请求的管理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110822822.8A CN113542287A (zh) | 2021-07-21 | 2021-07-21 | 网络请求的管理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113542287A true CN113542287A (zh) | 2021-10-22 |
Family
ID=78129075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110822822.8A Pending CN113542287A (zh) | 2021-07-21 | 2021-07-21 | 网络请求的管理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542287A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664856A (zh) * | 2022-12-26 | 2023-01-31 | 北京安锐卓越信息技术股份有限公司 | 一种请求过滤方法、系统、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259619A (zh) * | 2018-01-30 | 2018-07-06 | 成都东软学院 | 网络请求防护方法及网络通信系统 |
CN108959926A (zh) * | 2018-06-27 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法 |
CN111263025A (zh) * | 2018-11-30 | 2020-06-09 | 北京京东尚科信息技术有限公司 | 一种图片处理方法及其装置、设备、存储介质 |
CN111541674A (zh) * | 2016-12-23 | 2020-08-14 | 新东网科技有限公司 | 一种检测效率高的web站点安全防护方法及系统 |
CN112243013A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 一种实现跨域资源缓存的方法、系统、服务器和存储介质 |
-
2021
- 2021-07-21 CN CN202110822822.8A patent/CN113542287A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111541674A (zh) * | 2016-12-23 | 2020-08-14 | 新东网科技有限公司 | 一种检测效率高的web站点安全防护方法及系统 |
CN108259619A (zh) * | 2018-01-30 | 2018-07-06 | 成都东软学院 | 网络请求防护方法及网络通信系统 |
CN108959926A (zh) * | 2018-06-27 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法 |
CN111263025A (zh) * | 2018-11-30 | 2020-06-09 | 北京京东尚科信息技术有限公司 | 一种图片处理方法及其装置、设备、存储介质 |
CN112243013A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 一种实现跨域资源缓存的方法、系统、服务器和存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664856A (zh) * | 2022-12-26 | 2023-01-31 | 北京安锐卓越信息技术股份有限公司 | 一种请求过滤方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
De Ryck et al. | Automatic and precise client-side protection against CSRF attacks | |
RU2446459C1 (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных компонент | |
CN107077410B (zh) | 分析客户端应用行为以检测异常并且阻止访问 | |
US8875285B2 (en) | Executable code validation in a web browser | |
US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
Oda et al. | SOMA: Mutual approval for included content in web pages | |
CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御系统和方法 | |
US20140317733A1 (en) | Method and client for ensuring user network security | |
CN108259619B (zh) | 网络请求防护方法及网络通信系统 | |
WO2014047147A1 (en) | Certifying server side web applications against security vulnerabilities | |
US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
CN110995672A (zh) | 一种用于软件开发的网络安全认证方法 | |
CN113315637A (zh) | 安全认证方法、装置及存储介质 | |
Chaudhary et al. | A novel framework to alleviate dissemination of XSS worms in online social network (OSN) using view segregation. | |
Deng et al. | Lexical analysis for the webshell attacks | |
Lundeen et al. | New ways im going to hack your web app | |
CN113542287A (zh) | 网络请求的管理方法和装置 | |
Lalia et al. | Implementation of web browser extension for mitigating CSRF attack | |
CN101686130A (zh) | 一种预防跨站脚本攻击的系统 | |
CN107682346B (zh) | 一种csrf攻击的快速定位与识别系统和方法 | |
Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
CN113343278B (zh) | 一种防御csrf攻击的登录请求校验方法及装置 | |
Telikicherla et al. | CORP: a browser policy to mitigate web infiltration attacks | |
Modi et al. | Design and implementation of RESTFUL API based model for vulnerability detection and mitigation | |
Sung et al. | Light-weight CSRF protection by labeling user-created contents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211022 |
|
RJ01 | Rejection of invention patent application after publication |