CN114268475A - 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 - Google Patents
恶意脚本拦截方法、系统、服务器及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114268475A CN114268475A CN202111520196.3A CN202111520196A CN114268475A CN 114268475 A CN114268475 A CN 114268475A CN 202111520196 A CN202111520196 A CN 202111520196A CN 114268475 A CN114268475 A CN 114268475A
- Authority
- CN
- China
- Prior art keywords
- script
- server
- http request
- file
- intercepting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例提出一种恶意脚本拦截方法、系统、服务器及计算机可读存储介质,属于网络安全技术领域,方法应用于服务器,服务器与多个客户端通信连接,服务器包括脚本数据库,脚本数据库中存储有安全动态脚本,方法包括:接收任一客户端发起的HTTP请求,并提取HTTP请求中的脚本文件,进而判断脚本文件是否为脚本数据库中的安全动态脚本,若否,则检测服务器中是否存在脚本文件,若服务器中存在脚本文件,则拦截HTTP请求,从而能够更准确地识别出恶意脚本,且是在恶意脚本入侵时就能进行拦截,从而能够改善现有的恶意脚本识别拦截方法的检测能力较差的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种恶意脚本拦截方法、系统、服务器及计算机可读存储介质。
背景技术
在计算机和计算机网络中,攻击者是执行恶意活动以破坏、暴露、更改、禁用、窃取或未经授权访问资产或未经授权使用资产的个人或组织。攻击者在通过web应用漏洞入侵网站之后,通常为了权限维持或进一步攻击的遍历,会在web服务器中释放一些恶意的脚本文件(webshell)用以持续地获取网站控制权限。
为了拦截恶意脚本文件,目前一般采用网站流量的特征话识别或使用时机器学习识别的方法,来识别恶意脚本文件并进行拦截。例如,作为网站流量特征话识别的一种,基于正则表达式检测恶意脚本文件的方法,只能在成功入侵之后进行识别和拦截;而基于机器学习的恶意脚本文件识别方法,检测能力较差。因此,现有的恶意脚本识别拦截方法均存在检测能力较差的问题。
发明内容
有鉴于此,本发明的目的在于提供一种恶意脚本拦截方法、系统、服务器及计算机可读存储介质,且能够改善现有的恶意脚本识别拦截方法均存在检测能力较差的问题。
为了实现上述目的,本发明实施例采用的技术方案如下。
第一方面,本发明提供一种恶意脚本拦截方法,采用如下的技术方案。
一种恶意脚本拦截方法,应用于服务器,所述服务器与多个客户端通信连接,所述服务器包括脚本数据库,所述脚本数据库中存储有安全动态脚本,所述方法包括:
接收任一所述客户端发起的HTTP请求;
提取所述HTTP请求中的脚本文件;
判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件;
若所述服务器中存在所述脚本文件,则拦截所述HTTP请求。
进一步地,所述服务器还包括日志数据库,所述方法还包括:
将接收的所述HTTP请求存储于所述日志数据库中;
在拦截所述HTTP请求的情况下,从所述日志数据库中调取所述HTTP请求,将所述HTTP请求与所述脚本文件的文件信息放入报警信息中,并发出所述报警信息。
进一步地,所述检测所述服务器中是否存在所述脚本文件的步骤,包括:
获取所述脚本文件在所述服务器上的文件信息,其中,所述文件信息包括位置和创建时间;
若无法获取所述文件信息,则判定所述服务器中不存在所述脚本文件。
进一步地,所述提取所述HTTP请求中的脚本文件的步骤,包括:
去掉所述HTTP请求中传递的参数,得到所述HTTP请求的脚本文件。
进一步地,所述方法还包括获取安全动态脚本的步骤,该步骤包括:
在所述服务器上线之前,扫描所述服务器的所有动态脚本;
将每个所述动态脚本传递的参数去掉后存储于所述脚本数据库,以作为安全动态脚本。
进一步地,所述方法还包括:
若所述服务器中不存在所述脚本文件,则放行所述HTTP请求。
进一步地,所述方法还包括:
若所述脚本文件是所述脚本数据库中的安全动态脚本,则放行所述HTTP请求。
第二方面,本发明提供一种服务器,采用如下的技术方案。
一种服务器,所述服务器与多个客户端通信连接,所述服务器包括脚本数据库、预处理模块和拦截模块;
所述脚本数据库,用于存储有安全动态脚本;
所述预处理模块,用于接收任一所述客户端发起的HTTP请求,提取所述HTTP请求中的脚本文件;
所述拦截模块,用于判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件,若所述服务器中存在所述脚本文件,则拦截所述HTTP请求。
第三方面,本发明提供一种恶意脚本拦截系统,采用如下的技术方案。
一种恶意脚本拦截系统,包括服务器、多个客户端以及安全设备,所述服务器与多个所述客户端和所述安全设备通信连接,所述服务器包括脚本数据库;
所述客户端,用于发出HTTP请求;
所述脚本数据库,用于存储安全动态脚本;
所述服务器,用于接收任一所述客户端发起的HTTP请求,提取所述HTTP请求中的脚本文件,判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件,若所述服务器中存在所述脚本文件,则拦截所述HTTP请求,并发出报警信息;
所述安全设备,用于接收所述服务器发出的报警信息,并根据所述报警信息中的位置删除所述服务器上的脚本文件。
第四方面,本发明提供一种计算机可读存储介质,采用如下的技术方案。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的恶意脚本拦截方法。
本发明实施例提供的恶意脚本拦截方法、系统、服务器及计算机可读存储介质,服务器的脚本数据库中预先存储有安全动态脚本,以在接收到任一客户端发送的HTTP请求后,将判断HTTP请求中的脚本文件是否为安全动态脚本,若不是,则在服务器中存在HTTP请求中的脚本文件的情况下,将HTTP请求拦截,能够更准确地识别出恶意脚本,且是在恶意脚本入侵时就能进行拦截,从而能够改善现有的恶意脚本识别拦截方法的检测能力较差的问题。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的恶意脚本拦截系统的方框示意图。
图2示出了本发明实施例提供的服务器的一种方框示意图。
图3示出了本发明实施例提供的恶意脚本拦截方法的部分步骤的流程示意图。
图4示出了本发明实施例提供的恶意脚本拦截方法的另一部分步骤的流程示意图。
图5示出了图3和图4中步骤S106的部分子步骤的流程示意图。
图6示出了本发明实施例提供的恶意脚本拦截方法的又一部分步骤的流程示意图。
图7示出了本发明实施例提供的服务器的又一方框示意图。
图标:110-恶意脚本拦截系统;120-服务器;130-脚本数据库;150-客户端;160-安全设备;170-存储器;180-处理器;190-通信模块;200-预处理模块;210-拦截模块。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
攻击者在通过web应用漏洞入侵网站之后,通常为了权限维持或进一步攻击的遍历,会在web服务器中释放一些恶意的脚本文件(webshell),这些恶意脚本文件能够持续地获取网站控制权限,以窃取、破坏、暴露、更改、禁用或未经授权访问网站资产。
为了拦截这些恶意脚本文件,目前一般采用网站流量的特征话识别或使用时机器学习识别的方法,来识别恶意脚本文件并进行拦截。例如,作为网站流量特征话识别的一种,基于正则表达式检测恶意脚本文件的方法,只能在成功入侵之后进行识别和拦截;而基于机器学习的恶意脚本文件识别方法,检测能力较差。因此,现有的恶意脚本识别拦截方法均存在检测能力较差的问题。
而脚本文件(包括webshell)均有一个特征,即:均为动态脚本文件(动态脚本执行文件)。动态脚本文件即为以.php、jsp、.asp、.aspx等后缀结尾的文件。
基于上述内容,本身提供一种恶意脚本拦截方法、系统、服务器及计算机可读存储介质。
请参照图1,为恶意脚本拦截系统110的方框示意图,本发明提供的恶意脚本拦截方法应用于该恶意脚本拦截系统110中。该恶意脚本拦截系统110包括服务器120、多个客户端150以及安全设备160,服务器120通过网络与多个客户端150和安全设备160通信连接,服务器120包括脚本数据库130。
客户端150,用于发出HTTP请求。
脚本数据库130,用于存储安全动态脚本。
服务器120,用于实现本发明提供的恶意脚本拦截方法。
如服务器120,用于接收任一客户端150发起的HTTP请求,提取HTTP请求中的脚本文件,判断脚本文件是否为脚本数据库130中的安全动态脚本,若否,则检测服务器120中是否存在脚本文件,若服务器120中存在脚本文件,则拦截HTTP请求,并发出报警信息。
安全设备160,用于接收服务器120发出的报警信息,并根据报警信息中的位置删除服务器120上的脚本文件。
其中,服务器120可以为网站服务器120。
请参照图2,是服务器120的方框示意图。服务器120包括存储器170、处理器180及通信模块190。所述存储器170、处理器180以及通信模块190各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器170用于存储程序或者数据。存储器170可以是,但不限于,随机存取存储器170(Random Access Memory,RAM),只读存储器170(Read Only Memory,ROM),可编程只读存储器170(Programmable Read-Only Memory,PROM),可擦除只读存储器170(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器170(ElectricErasable Programmable Read-Only Memory,EEPROM)等。
处理器180用于读/写存储器170中存储的数据、计算机程序或机器可执行指令,并执行相应地功能。具体地,处理器180执行存储器170中的计算机程序或机器可执行指令时,实现本发明提供的恶意脚本拦截方法。
通信模块190用于通过网络建立服务器120与其它通信终端之间的通信连接,并用于通过网络收发数据。
应当理解的是,图2所示的结构仅为服务器120的结构示意图,服务器120还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
在一种实施方式中,参照图3,为本发明提供的恶意脚本拦截方法的流程示意图。在本实施方式中,以该方法应用于上述图1中的服务器120进行举例说明。
S100,接收任一客户端发起的HTTP请求。
具体地,用户或攻击者通过客户端150向服务器120发出HTTP请求,服务器120接收该HTTP请求。
S102,提取HTTP请求中的脚本文件。
其中,HTTP请求包括脚本文件、请求头和传递的参数。
S104,判断脚本文件是否为脚本数据库130中的安全动态脚本。若否,则执行S106。
S106,检测服务器中是否存在脚本文件。若服务器120中存在脚本文件,则执行S108。
S108,拦截HTTP请求。
具体地,服务器120提取接收到的HTTP请求中的脚本文件,例如HTTP请求中的URL为admin.php?name=admin&passwd=123456,即网站服务器120上的网站admin.php?name=admin&passwd=123456被访问,此时,从HTTP请求中提取出的脚本文件为admin.php。
进而判断脚本文件是否为脚本数据库130中的安全动态脚本中的一个,若不是,意味着该脚本文件肯为异常脚本,因此检测服务器120自身中是否存在该脚本文件,若存在,则拦截HTTP请求。
应当理解的是,当HTTP请求中的脚本文件不是脚本数据库130中的安全动态脚本中的一个时,意味着该脚本文件为异常脚本(恶意脚本),进而若服务器120中存在该脚本文件,则意味着该脚本文件已经在获取服务器120的控制权限,以窃取、破坏、暴露、更改、禁用或未经授权访问服务器120(网站服务器120)的资产。因此,拦截HTTP请求后,服务器120上的脚本文件无法响应HTTP请求而进行窃取、破坏、暴露、更改、禁用或未经授权访问等活动。
在上述恶意脚本拦截方法中,服务器120的脚本数据库130中预先存储有安全动态脚本,以在接收到任一客户端150发送的HTTP请求后,将判断HTTP请求中的脚本文件是否为安全动态脚本,若不是,则在服务器120中存在HTTP请求中的脚本文件的情况下,将HTTP请求拦截,能够更准确地识别出恶意脚本,且是在恶意脚本入侵时就能进行拦截,从而能够改善现有的恶意脚本识别拦截方法的检测能力较差的问题。
在上述基础上,服务器120还可以包括日志数据库,并可选地,参照图4,本发明提供的恶意脚本拦截方法还包括S101和S109。
S101,将接收的HTTP请求存储于日志数据库中。
其中,HTTP请求包括URL、脚本文件、请求头和传递的参数。
具体地,服务器120接收的每一个HTTP请求存储于日志数据库中。
S109在S108之后执行,即在拦截HTTP请求的情况下,执行S109。
S109,从日志数据库中调取HTTP请求,将HTTP请求与脚本文件的文件信息放入报警信息中,并发出报警信息。
其中,文件信息包括脚本文件在服务器120中的位置、创建时间和访问时间。
具体地,服务器120在拦截HTTP请求之后(具体可以为:向发送HTTP请求的客户端150返回拦截页面),调取日志数据库中的HTTP请求,将HTTP请求及其脚本文件的文件信息放入报警信息中,并发出该报警信息。该报警信息可以发送至安全设备160上。
此外,请继续参照图4,本发明提供的恶意脚本拦截方法还包括S107。
在S104判断出脚本文件是脚本数据库130中的安全动态脚本时,执行S107。
以及在S106检测出服务器120中不存在脚本文件(接收的HTTP请求中的脚本文件)时,执行S107。
S107,放行HTTP请求。
放行HTTP请求意味着,服务器120上与HTTP请求中的脚本文件一致的安全动态脚本,会执行HTTP请求,给客户端150发送HTTP请求对应的数据包,或者执行某个行为。
应当理解的是,当服务器120中不存在脚本文件时,意味着包含脚本文件的HTTP请求可能是恶意扫描或探测,但由于服务器120上没有该脚本文件,因此即使放行该HTTP请求,服务器120无法执行该HTTP请求以给客户端150反馈,或无法对服务器120造成破坏,故而可以直接放行。
通过上述步骤,将无害和安全的HTTP请求(脚本文件)放行,将包含恶意脚本文件的HTTP请求拦截,来维护服务器120的工作正常进行。
可选的,针对S102,可通过以下方法来提取HTTP请求中的脚本文件:去掉HTTP请求中传递的参数,得到HTTP请求的脚本文件。
即将HTTP请求中传递的参数去掉后,HTTP请求中剩余的部分就是脚本文件。例如HTTP请求为admin.php?name=admin&passwd=123456,去掉参数?name=admin&passwd=123456,得到脚本文件admin.php。
可选的,在一种实施方式中宏,针对S106,参照图5,图5为S106的部分子步骤的流程示意图,包括如下步骤。
S106-1,获取脚本文件在服务器上的文件信息。
已知,文件信息包括脚本文件在服务器120中的位置、创建时间和访问时间。
S106-2,若无法获取文件信息,则判定服务器中不存在脚本文件,若获取到文件信息,则判定服务器中存在脚本文件。
通过步骤S106-1和S106-2,能够实现检测服务器120中是否存在脚本文件。
需要说明的是,上述步骤S100-S109有服务器120执行只是其中的一种应用场景。例如,在其他应用场景中,上述步骤S100-S109可以有拦截设备执行,拦截设备与服务器120和多个客户端150通信连接,以执行上述恶意脚本拦截方法。此时,脚本数据库130和日志数据库也属于拦截设备的一部分,即拦截设备包括脚本数据库130和日志数据库。
可选地,本发明提供的恶意脚本拦截方法还包括获取安全动态脚本的步骤。在一种实施方式中,参照图6,图6为该步骤的部分子步骤的流程示意图,包括如下步骤。
S201,在服务器上线之前,扫描服务器的所有动态脚本。
S202,将每个动态脚本传递的参数去掉后存储于脚本数据库,以作为安全动态脚本。
具体地,在服务器120上线之前,服务器120可以扫描自身的所有动态脚本,并将动态脚本的参数去掉后存储于脚本数据库130中,以作为安全动态脚本。
应当理解的是,上线包括服务器120的全新上线、更新后上线和维护后上线。
服务器120上线前未受攻击者攻击,因此,此时服务器120的动态脚本均为安全的动态脚本。
上述本发明提供的恶意脚本拦截方法,可以基于Python语言实现。
此外,本发明提供的恶意脚本拦截方法基于不安全输入概念设计(即服务器120的原始设置的动态脚本为安全动态脚本,其他为恶意脚本),将有效的拦截任何变型、加密传输隐藏的后门,与传统的正则匹配恶意关键字不同,将更高效、更彻底、更全方面的发现隐藏在Web系统中的恶意动态脚本文件。
即在本发明提供的恶意脚本拦截方法中,将一切发送至服务器120上的HTTP请求都认为是不安全的访问,将服务器120(网站服务器120)上线前,自身上的动态脚本作为安全动态脚本。(网站)服务器120上线之后正常用户、恶意扫描、黑客攻击等会不断的向服务器120发起HTTP请求,其中不乏会存在恶意的脚本文件(Webshell),因此基于扫描得到的安全动态脚本评估这些HTTP请求是否是恶意的,并进行相应的处理,以此实现恶意脚本拦截。
应该理解的是,虽然图3-图6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图3-图6中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种服务器120的实现方式,可选地,该服务器120可以采用上述图2所示的服务器120的器件结构。进一步地,请参阅图7,图7为本发明实施例提供的一种服务器120的功能模块图。需要说明的是,本实施例所提供的服务器120,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。该服务器120与多个客户端150通信连接,该服务器120包括脚本数据库130、预处理模块200和拦截模块210。
脚本数据库130,用于存储有安全动态脚本。
预处理模块200,用于接收任一客户端150发起的HTTP请求,提取HTTP请求中的脚本文件。
拦截模块210,用于判断脚本文件是否为脚本数据库130中的安全动态脚本,若否,则检测服务器120中是否存在脚本文件,若服务器120中存在脚本文件,则拦截HTTP请求。
可选地,上述模块可以软件或固件(Firmware)的形式存储于图2所示的存储器170中或固化于该服务器120的操作系统(Operating System,OS)中,并可由图2中的处理器180执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器170中。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种恶意脚本拦截方法,其特征在于,应用于服务器,所述服务器与多个客户端通信连接,所述服务器包括脚本数据库,所述脚本数据库中存储有安全动态脚本,所述方法包括:
接收任一所述客户端发起的HTTP请求;
提取所述HTTP请求中的脚本文件;
判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件;
若所述服务器中存在所述脚本文件,则拦截所述HTTP请求。
2.根据权利要求1所述的恶意脚本拦截方法,其特征在于,所述服务器还包括日志数据库,所述方法还包括:
将接收的所述HTTP请求存储于所述日志数据库中;
在拦截所述HTTP请求的情况下,从所述日志数据库中调取所述HTTP请求,将所述HTTP请求与所述脚本文件的文件信息放入报警信息中,并发出所述报警信息。
3.根据权利要求1或2所述的恶意脚本拦截方法,其特征在于,所述检测所述服务器中是否存在所述脚本文件的步骤,包括:
获取所述脚本文件在所述服务器上的文件信息,其中,所述文件信息包括位置和创建时间;
若无法获取所述文件信息,则判定所述服务器中不存在所述脚本文件。
4.根据权利要求1或2所述的恶意脚本拦截方法,其特征在于,所述提取所述HTTP请求中的脚本文件的步骤,包括:
去掉所述HTTP请求中传递的参数,得到所述HTTP请求的脚本文件。
5.根据权利要求1或2所述的恶意脚本拦截方法,其特征在于,所述方法还包括获取安全动态脚本的步骤,该步骤包括:
在所述服务器上线之前,扫描所述服务器的所有动态脚本;
将每个所述动态脚本传递的参数去掉后存储于所述脚本数据库,以作为安全动态脚本。
6.根据权利要求1或2所述的恶意脚本拦截方法,其特征在于,所述方法还包括:
若所述服务器中不存在所述脚本文件,则放行所述HTTP请求。
7.根据权利要求1或2所述的恶意脚本拦截方法,其特征在于,所述方法还包括:
若所述脚本文件是所述脚本数据库中的安全动态脚本,则放行所述HTTP请求。
8.一种服务器,其特征在于,所述服务器与多个客户端通信连接,所述服务器包括脚本数据库、预处理模块和拦截模块;
所述脚本数据库,用于存储有安全动态脚本;
所述预处理模块,用于接收任一所述客户端发起的HTTP请求,提取所述HTTP请求中的脚本文件;
所述拦截模块,用于判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件,若所述服务器中存在所述脚本文件,则拦截所述HTTP请求。
9.一种恶意脚本拦截系统,其特征在于,包括服务器、多个客户端以及安全设备,所述服务器与多个所述客户端和所述安全设备通信连接,所述服务器包括脚本数据库;
所述客户端,用于发出HTTP请求;
所述脚本数据库,用于存储安全动态脚本;
所述服务器,用于接收任一所述客户端发起的HTTP请求,提取所述HTTP请求中的脚本文件,判断所述脚本文件是否为所述脚本数据库中的安全动态脚本,若否,则检测所述服务器中是否存在所述脚本文件,若所述服务器中存在所述脚本文件,则拦截所述HTTP请求,并发出报警信息;
所述安全设备,用于接收所述服务器发出的报警信息,并根据所述报警信息中的位置删除所述服务器上的脚本文件。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的恶意脚本拦截方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111520196.3A CN114268475A (zh) | 2021-12-13 | 2021-12-13 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111520196.3A CN114268475A (zh) | 2021-12-13 | 2021-12-13 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114268475A true CN114268475A (zh) | 2022-04-01 |
Family
ID=80827172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111520196.3A Withdrawn CN114268475A (zh) | 2021-12-13 | 2021-12-13 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268475A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115065534A (zh) * | 2022-06-14 | 2022-09-16 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
| CN115277092A (zh) * | 2022-06-22 | 2022-11-01 | 中国电信股份有限公司 | 处理木马病毒的方法、系统、存储介质以及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020046170A1 (en) * | 2000-10-12 | 2002-04-18 | Toptier, Israel, Ltd. | User impersonation by a proxy server |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN106250178A (zh) * | 2016-07-26 | 2016-12-21 | 北京北森云计算股份有限公司 | 通过多语言云编译实现系统动态功能在线拦截扩展的方法 |
| CN107066883A (zh) * | 2015-09-30 | 2017-08-18 | 卡巴斯基实验室股份制公司 | 用于阻断脚本执行的系统和方法 |
| CN107341371A (zh) * | 2017-07-04 | 2017-11-10 | 北京工业大学 | 一种适用于web组态的脚本控制方法 |
| CN112395536A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站的攻击防御方法及装置、存储介质、电子装置 |
-
2021
- 2021-12-13 CN CN202111520196.3A patent/CN114268475A/zh not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020046170A1 (en) * | 2000-10-12 | 2002-04-18 | Toptier, Israel, Ltd. | User impersonation by a proxy server |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN107066883A (zh) * | 2015-09-30 | 2017-08-18 | 卡巴斯基实验室股份制公司 | 用于阻断脚本执行的系统和方法 |
| CN106250178A (zh) * | 2016-07-26 | 2016-12-21 | 北京北森云计算股份有限公司 | 通过多语言云编译实现系统动态功能在线拦截扩展的方法 |
| CN107341371A (zh) * | 2017-07-04 | 2017-11-10 | 北京工业大学 | 一种适用于web组态的脚本控制方法 |
| CN112395536A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站的攻击防御方法及装置、存储介质、电子装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115065534A (zh) * | 2022-06-14 | 2022-09-16 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
| CN115065534B (zh) * | 2022-06-14 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
| CN115277092A (zh) * | 2022-06-22 | 2022-11-01 | 中国电信股份有限公司 | 处理木马病毒的方法、系统、存储介质以及电子设备 |
| CN115277092B (zh) * | 2022-06-22 | 2024-05-14 | 中国电信股份有限公司 | 处理木马病毒的方法、系统、存储介质以及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210234837A1 (en) | System and method to detect and prevent Phishing attacks | |
| US20190215330A1 (en) | Detecting attacks on web applications using server logs | |
| US9929991B2 (en) | Just-in-time, email embedded URL reputation determination | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CA2946695C (en) | Fraud detection network system and fraud detection method | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| Kalla et al. | Phishing detection implementation using databricks and artificial Intelligence | |
| CN114268475A (zh) | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 | |
| CN109155774A (zh) | 用于检测安全威胁的系统和方法 | |
| CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN113918945A (zh) | 一种大数据计算机网络安全防护系统 | |
| CN112613029A (zh) | 一种弱口令检测方法、装置、计算机存储介质以及设备 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| CN115189937A (zh) | 一种用于客户端数据的安全防护方法及装置 | |
| Saračević et al. | Some specific examples of attacks on information systems and smart cities applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220401 |