CN108259619B - 网络请求防护方法及网络通信*** - Google Patents
网络请求防护方法及网络通信*** Download PDFInfo
- Publication number
- CN108259619B CN108259619B CN201810091901.4A CN201810091901A CN108259619B CN 108259619 B CN108259619 B CN 108259619B CN 201810091901 A CN201810091901 A CN 201810091901A CN 108259619 B CN108259619 B CN 108259619B
- Authority
- CN
- China
- Prior art keywords
- http request
- server
- value
- hash value
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种网络请求防护方法及网络通信***,网络通信***包括相互通信的服务器及用户终端的***;方法包括:服务器获取用户终端发送的第一HTTP请求;服务器替换第一HTTP请求中的预设字符后得到第二HTTP请求,并检测其中是否包括预设的敏感关键字;若不包括敏感关键字,服务器获取并验证第一HTTP请求中的Referer值是否以预设域名开头,并验证第一HTTP请求中的token值为预设值。如此,通过对HTTP请求中的敏感关键字进行屏蔽,并结合Referer字段和token对请求进行验证,以识别并排除跨站脚本攻击攻击及跨站请求伪造,从而提高合法用户终端与服务器之间数据交互的安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络请求防护方法及网络通信***。
背景技术
随着网络技术的不断发展及个人计算机终端的普及,依靠互联网实现各种信息交互的场景越来越丰富。在通过网页进行数据交互过程中,合法用户终端与服务器之间的通信可能遭到各种攻击,导致攻击者利用合法用户终端的身份对服务器进行操作。现有技术中,仅通过一些单一的手段对这类攻击进行防护,防护方式不全面,容易被攻击者绕开,不能有效进行防护。
发明内容
为了克服现有技术中的上述不足,本申请的目的在于提供一种网络请求防护方法,应用于包括相互通信的服务器及用户终端的***;所述方法包括:
所述服务器获取用户终端发送的第一HTTP请求;
所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求,检测所述第二HTTP请求中是否包括预设的敏感关键字;
若检测到所述第二HTTP请求中不包括所述敏感关键字,所述服务器获取并验证所述第一HTTP请求中的Referer值是否以预设域名开头,并验证所述第一HTTP请求中的token值为预设值;
若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器响应该第一HTTP请求。
可选地,在上述方法中,所述第一HTTP请求包括登录请求;所述服务器预存有用户账号与第一基准散列值的对应关系,其中所述第一基准散列值根据所述用户账号与对应的用户密码预先生成;所述若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器响应该第一HTTP请求的步骤,包括:
若检测到所述登录请求中的Referer值以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,则所述服务器向所述用户终端发送一随机生成的盐值,其中,所述登录请求中包括用户账号;
所述用户终端根据用户输入的登录账号及登录密码生成第一验证散列值,并根据所述第一验证散列值与所述盐值生成第二验证散列值发送给所述服务器;
所述服务器根据所述用户账号查找对应的所述第一基准散列值,根据所述第一基准散列值及所述盐值生成第二基准散列值;
所述服务器检测所述第二验证散列值与所述第二基准散列值是否相同,若所述第二验证散列值与所述第二基准散列值相同则向所述用户终端发送登录成功通知。
可选地,在上述方法中,所述第一HTTP请求包括用户信息上传请求;所述方法还包括:
所述用户终端接收用户输入的用户信息,采用预设密钥对所述用户信息进行异或加密得到密文后生成所述第一HTTP请求并上传给服务器;
所述服务器在响应该第一HTTP请求后,采用所述预设密钥对所述密文进行解密得到所述用户信息。
可选地,在上述方法中,所述服务器预设有多个Struts2***及记录所述多个Struts2***的列表;所述检测所述第二HTTP请求中是否包括预设的敏感关键字的步骤,包括:
根据所述列表,依次调用所述多个Struts2***对所述第二HTTP请求进行检测,以判断所述第二HTTP请求是否包括预设的敏感关键字。
可选地,在上述方法中,所述方法还包括:
所述用户终端在待发送的HTTP请求包括的URL地址中加入token作为所述第一HTTP请求发送给所述服务器。
可选地,在上述方法中,所述方法还包括:
所述用户终端在待发送的HTTP请求的header字段部分预设的属性中添加token后作为所述第一HTTP请求发送给所述服务器。
本申请的另一目的在于提供一种网络通信***,包括相互通信的服务器及用户终端的***;
所述服务器获取用户终端发送的第一HTTP请求;
所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求,检测所述第二HTTP请求中是否包括预设的敏感关键字;
若检测到所述第二HTTP请求中不包括所述敏感关键字,所述服务器获取并验证所述第一HTTP请求中的Referer值是否以预设域名开头,并验证所述第一HTTP请求中的token值为预设值;
若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器响应该第一HTTP请求。
可选地,在上述***中,所述第一HTTP请求包括登录请求;所述服务器预存有用户账号与第一基准散列值的对应关系,其中所述第一基准散列值根据所述用户账号与对应的用户密码预先生成;
所述服务器若检测到所述登录请求中的Referer值以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,则所述服务器向所述用户终端发送一随机生成的盐值,其中,所述登录请求中包括用户账号;
所述用户终端根据用户输入的登录账号及登录密码生成第一验证散列值,并根据所述第一验证散列值与所述盐值生成第二验证散列值发送给所述服务器;
所述服务器根据所述用户账号查找对应的所述第一基准散列值,根据所述第一基准散列值及所述盐值生成第二基准散列值;
所述服务器检测所述第二验证散列值与所述第二基准散列值是否相同,若所述第二验证散列值与所述第二基准散列值相同则向所述用户终端发送登录成功通知。
可选地,在上述***中,所述第一HTTP请求包括用户信息上传请求;
所述用户终端接收用户输入的用户信息,采用预设密钥对所述用户信息进行异或加密得到密文后生成所述第一HTTP请求并上传给服务器;
所述服务器在响应该第一HTTP请求后,采用所述预设密钥对所述密文进行解密得到所述用户信息。
可选地,在上述***中,所述服务器预设有多个Struts2***及记录所述多个Struts2***的列表;
所述服务器根据所述列表,依次调用所述多个Struts2***对所述第二HTTP请求进行检测,以判断所述第二HTTP请求是否包括预设的敏感关键字。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供的网络请求防护方法及网络通信***,通过对HTTP请求中的敏感关键字进行屏蔽,并结合Referer字段和token对请求进行验证,以识别并排除跨站脚本攻击攻击及跨站请求伪造,从而提高合法用户终端与服务器之间数据交互的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络通信***的示意图;
图2为本申请实施例提供的网络请求防护方法的步骤流程示意图之一;
图3为本申请实施例提供的网络请求防护方法的步骤流程示意图之二;
图4为本申请实施例提供的网络请求防护方法的步骤流程示意图之三。
图标:10-网络通信***;100-服务器;200-用户终端;300-网络。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,需要说明的是,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
请参照图1,本实施例提供一种网络通信***10,包括相互通信的服务器100及至少一个用户终端200。在本实施例中,所述用户终端200可以通过网络300访问所述服务器100提供的WEB站点,所述用户终端200与所述服务器100之间可以通过HTTP协议进行数据交互。
请参照图2,图2为应用于图1所示的网络通信***10的一种网络请求防护方法的流程图,以下将对所述方法包括各个步骤进行详细阐述。
步骤S110,所述服务器100获取用户终端200发送的第一HTTP请求。
在本实施例中,首先考虑对跨站脚本攻击(Cross Site Scripting,简称XSS)攻击进行防护。XSS是一种在Web页面里***恶意Script代码的攻击方式,当用户浏览该Web页面时,嵌入Web页面里面的Script代码会被执行,从而达到恶意攻击用户的目的。由于XSS攻击过在HTTP请求中,攻击者会通过一些手段隐藏Script代码,故在本实施例中,通过步骤S120识别还原其中的关键字,然后进行检测屏蔽。
步骤S120,所述服务器100替换所述第一HTTP请求中的预设字符后得到第二HTTP请求,检测所述第二HTTP请求中是否包括预设的敏感关键字。
在本实施例中,所述服务器100在接收到所述第一HTTP请求后先替换该第一HTTP请求汇总的预设字符,例如,可以通过正则表达式对所述第一HTTP请求中的预设字符进行替换剔除。替换内容如下:
A.替换删除所述第一HTTP请求中的“<”及“>”字符,将所述第一HTTP请求中用户输入的内容放入单引号间,如此基本实现了用户输入数据与HTTP请求自身代码的隔离。
B.替换删除所述第一HTTP请求中的双引号字符,以防止用户跨越许可的标记,添加自定义标记。
C.替换删除所述第一HTTP请求中的TAB字符和空格字符,以防止关键字被拆分绕过检查。
D.替换所述第一HTTP请求中的script关键字。
E.替换删除“&#”字符,以防止HTML属性绕过检查。
如此对所述第一HTTP请求进行处理后得到第二HTTP请求。
在本实施例中,可以采用Struts2***所述对第二HTTP请求进行所述敏感关键字的识别。所述服务器100预设有多个Struts2***及记录所述多个Struts2***的列表。其中,所述多个Struts2***是面向切面编程(Aspect Oriented Programming,简称AOP)的一个实现,其使能状态时可配置的。
所述服务器100根据所述列表,依次调用所述多个Struts2***对所述第二HTTP请求进行检测,以判断所述第二HTTP请求是否包括预设的敏感关键字。
若检测到所述第二HTTP请求中包括有所述敏感关键字,则不响应该第一HTTP请求。
若检测到所述第二HTTP请求中不包括所述敏感关键字,则进入步骤S130,对跨站请求伪造(Cross-site request forgery,简称CSRF)进行识别防护。
步骤S130,若检测到所述第二HTTP请求中不包括所述敏感关键字,所述服务器100获取并验证所述第一HTTP请求中的Referer值是否以预设域名开头,并验证所述第一HTTP请求中的token值为预设值。
在本实施例中,所述预设域名可以为所述服务器100提供的WEB站点的域名。
CSRF是一种攻击者越权通过合法用户终端的身份对服务器100进行操作的攻击方式,例如,CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者Bob在银行有一笔存款,通过对银行的网站发送如下请求,可以使Bob把1000000的存款转到bob2的账号下:
HTTP://bank.example/withdraw?account=bob&amount=1000000&for=bob2
通常情况下,该请求发送到网站后,服务器100会先验证该请求是否来自一个合法的会话(session),并且该session的用户Bob已经成功登陆。黑客Mallory自己在该银行也有账户,他知道上文中的URL可以把钱进行转帐操作。那么,Mallory可以自己发送一个如下请求给银行:
HTTP://bank.example/withdraw?account=bob&amount=1000000&for=Mallory
但是这个请求来自Mallory而非Bob,他不能通过安全认证,因此该请求不会起作用。
这时,Mallory可以通过CSRF的攻击方式,他先制作一个网站,在网站中放入如下代码:
src=HTTP://bank.example/withdraw?account=bob&amount=1000000&for=Mal lory
并且通过广告等诱使Bob来访问他的网站。当Bob访问该网站时,上述URL就会从Bob的浏览器发向银行,而这个请求会附带Bob浏览器中的cookie一起发向银行服务器100。大多数情况下,该请求会失败,因为他要求Bob的认证信息。但是,如果Bob当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的session尚未过期,浏览器的cookie之中含有Bob的认证信息。这时,这个URL请求就会得到响应,钱将从Bob的账号转移到Mallory的账号,而Bob当时毫不知情。等以后Bob发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而Mallory则可以拿到钱后逍遥法外。
故在本实施例中,采用验证HTTP请求中Referer字段,并在请求地址中添加token验证的方式来防护CSRF。
具体地,根据HTTP协议的规定,在HTTP请求头中有一个Referer字段,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问:
http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory
用户必须先登陆bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的Referer是指向黑客自己的网站。因此,要防御CSRF攻击,银行网站只需要对于每一个转账请求验证其Referer值,如果是以bank.example开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果Referer是其他网站的话,则有可能是黑客的CSRF攻击,拒绝该请求。
然而,Referer的值是由浏览器提供的,虽然HTTP协议上有明确的要求,但是每个浏览器对于Referer的具体实现可能有差别,并不能保证浏览器自身没有安全漏洞。使用验证Referer值的方法,就是把安全性都依赖于第三方(即浏览器)来保障,从理论上来讲,这样并不安全。事实上,对于某些浏览器,比如IE6或FF2,目前已经有一些方法可以篡改Referer值。如果bank.example网站支持IE6浏览器,黑客完全可以把用户浏览器的Referer值设为以bank.example域名开头的地址,这样就可以通过验证,从而进行CSRF攻击。
故在本实施例中,可以在HTTP请求中加入一个随机产生的token,并在服务器100端建立一个***来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。
在本实施例的一种实施方式中,所述用户终端200在待发送的HTTP请求包括的URL地址中加入token作为所述第一HTTP请求发送给所述服务器100。
在本实施方式中,token可以在用户登陆后产生并放于session之中,然后在每次请求时把token从session中拿出,与请求中的token进行比对。对于GET请求,token将附在请求地址之后,这样URL就变成http://url?csrftoken=tokenvalue。而对于POST请求来说,要在form的最后加上<input type=”hidden”name=”csrftoken”value=”tokenvalue”/>,这样就把token以参数的形式加入请求了。
在本实施例的另一种实施方式中,所述用户终端200在待发送的HTTP请求的header字段部分预设的属性中添加token后作为所述第一HTTP请求发送给所述服务器100。
在本实施方式中,把token放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了上种方法在请求中加入token的不便,同时,通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏,也不用担心token会透过Referer泄露到其他网站中去。
基于上述设计,本实施例采用采用token验证与验证HTTP Referer字段结合使用能够更加有效的防御CSRF攻击。
步骤S140,若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器100响应该第一HTTP请求。
所述第一HTTP请求可能包括不同的请求类型。
在本实施例的一种实施方式中,所述第一HTTP请求可以包括登录请求。所述服务器100预存有用户账号与第一基准散列值的对应关系,所述第一基准散列值根据所述用户账号与对应的用户密码预先生成,例如,所述第一基准散列值可以由所述用户账号及对应的用户密码进行MD5计算生成。
请参照图3,所述网络通信***10可以通过步骤S210-步骤S240步骤对所述第一HTTP请求进行处理。
步骤S210,所述服务器100向所述用户终端200发送一随机生成的盐值。
步骤S220,所述用户终端200根据用户输入的登录账号及登录密码生成第一验证散列值,并根据所述第一验证散列值与所述盐值生成第二验证散列值发送给所述服务器100。
在本实施方式中,所述用户终端200先对用户输入的登录账号及登录密码进行MD5计算得到所述第一验证散列值,然后将所述第一验证散列值与所述盐值再次进行MD5计算,得到第二验证散列值并发送给所述服务器100。
步骤S230,所述服务器100根据所述用户账号查找对应的所述第一基准散列值,根据所述第一基准散列值及所述盐值生成第二基准散列值。
所述服务器100所述登录请求中的用户账号查找相应的第一基准散列值,然后将所述第一基准散列值与所述盐值一起进行MD5计算得到第二验证散列值。
步骤S240,所述服务器100检测所述第二验证散列值与所述第二基准散列值是否相同,若所述第二验证散列值与所述第二基准散列值相同则向所述用户终端200发送登录成功通知。
在本实施例中,针对一次登录所述盐值是唯一的,则通过步骤S220及步骤S230生成的散列值是也是唯一的,所以若所述第二验证散列值与所述第二基准散列值相同则可以认为用户输入的用户名及密码的对应关系正确,所述服务器100向所述用户终端200发送登录成功通知。
在本实施例的另一种实施方式中,所述第一HTTP请求包括用户信息上传请求。
请参照图4,所述网络通信***10可以通过步骤S310及步骤S320对所述用户信息上传请求进行处理。
步骤S310,所述用户终端200接收用户输入的用户信息,采用预设密钥对所述用户信息进行异或加密得到密文后生成所述第一HTTP请求并上传给服务器100。
异或加密的原理是如果不知道两个参数的初值,就不可能进行逆向操作,例如,如果进行异或运算的两个变量值未知,就无法从结果推断两变量的值;如果A异或B返回真,也无从知晓是A真B假还是A假B真;进一步说,就算结果返回假,也仍然无法确定两个都真还是都假。
但是,如果知道了A或者B的初值,异或操作就是完全可逆的(不同于逻辑与、逻辑或)。例如,A XOR TRUE为真,则A假;A XOR TRUE为假,则A为真。异或加密的原则就是如果同时拥有加密的字符串和加密密钥,就可以正确解密;如果没有密钥的话,唯一的破解方法就是制作完全随机的密钥并挨个尝试,直到解密程序的输出是可读文本或其他类似的内容。加密密钥越长,就越难破解。
步骤S320,所述服务器100在响应该第一HTTP请求后,采用所述预设密钥对所述密文进行解密得到所述用户信息。
所述服务器100在接收到所述用户终端200发送的第一HTTP请求后,采用同样的预设密钥进行异或解密得到所述用户信息。如此,大大提高用户信息传递的安全性。
综上所述,本申请提供的网络请求防护方法及网络通信***,通过对HTTP请求中的敏感关键字进行屏蔽,并结合Referer字段和token对请求进行验证,以识别并排除跨站脚本攻击攻击及跨站请求伪造,从而提高合法用户终端与服务器之间数据交互的安全性。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种网络请求防护方法,其特征在于,应用于包括相互通信的服务器及用户终端的***;所述方法包括:
所述服务器获取用户终端发送的第一HTTP请求;
所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求,检测所述第二HTTP请求中是否包括预设的敏感关键字;
若检测到所述第二HTTP请求中不包括所述敏感关键字,所述服务器获取并验证所述第一HTTP请求中的Referer值是否以预设域名开头,并验证所述第一HTTP请求中的token值为预设值;
若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器响应该第一HTTP请求;
其中,所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求的步骤,包括:
替换删除所述第一HTTP请求中的“<”及“>”字符,将所述第一HTTP请求中用户输入的内容放入单引号间;
替换删除所述第一HTTP请求中的双引号字符;
替换删除所述第一HTTP请求中的TAB字符和空格字符;
替换所述第一HTTP请求中的script关键字;
替换删除“&#”字符。
2.根据权利要求1所述的方法,其特征在于,所述第一HTTP请求包括登录请求,所述登录请求中包括用户账号;所述服务器预存有用户账号与第一基准散列值的对应关系,其中所述第一基准散列值根据所述用户账号与对应的用户密码预先生成;所述服务器响应该第一HTTP请求的步骤,包括:
所述服务器向所述用户终端发送一随机生成的盐值;
所述用户终端根据用户输入的登录账号及登录密码生成第一验证散列值,并根据所述第一验证散列值与所述盐值生成第二验证散列值发送给所述服务器;
所述服务器根据所述用户账号查找对应的所述第一基准散列值,根据所述第一基准散列值及所述盐值生成第二基准散列值;
所述服务器检测所述第二验证散列值与所述第二基准散列值是否相同,若所述第二验证散列值与所述第二基准散列值相同则向所述用户终端发送登录成功通知。
3.根据权利要求1所述的方法,其特征在于,所述第一HTTP请求包括用户信息上传请求;所述方法还包括:
所述用户终端接收用户输入的用户信息,采用预设密钥对所述用户信息进行异或加密得到密文后生成所述第一HTTP请求并上传给服务器;
所述服务器在响应该第一HTTP请求后,采用所述预设密钥对所述密文进行解密得到所述用户信息。
4.根据权利要求1所述的方法,其特征在于,所述服务器预设有多个Struts2***及记录所述多个Struts2***的列表;所述检测所述第二HTTP请求中是否包括预设的敏感关键字的步骤,包括:
根据所述列表,依次调用所述多个Struts2***对所述第二HTTP请求进行检测,以判断所述第二HTTP请求是否包括预设的敏感关键字。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户终端在待发送的HTTP请求包括的URL地址中加入token作为所述第一HTTP请求发送给所述服务器。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户终端在待发送的HTTP请求的header字段部分预设的属性中添加token后作为所述第一HTTP请求发送给所述服务器。
7.一种网络通信***,其特征在于,包括相互通信的服务器及用户终端的***;
所述服务器获取用户终端发送的第一HTTP请求;
所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求,检测所述第二HTTP请求中是否包括预设的敏感关键字;
若检测到所述第二HTTP请求中不包括所述敏感关键字,所述服务器获取并验证所述第一HTTP请求中的Referer值是否以预设域名开头,并验证所述第一HTTP请求中的token值为预设值;
若检测到所述第一HTTP请求中的Referer值是以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,所述服务器响应该第一HTTP请求;
其中,所述服务器替换所述第一HTTP请求中的预设字符后得到第二HTTP请求的步骤,包括:
替换删除所述第一HTTP请求中的“<”及“>”字符,将所述第一HTTP请求中用户输入的内容放入单引号间;
替换删除所述第一HTTP请求中的双引号字符;
替换删除所述第一HTTP请求中的TAB字符和空格字符;
替换所述第一HTTP请求中的script关键字;
替换删除“&#”字符。
8.根据权利要求7所述的***,其特征在于,所述第一HTTP请求包括登录请求;所述服务器预存有用户账号与第一基准散列值的对应关系,其中所述第一基准散列值根据所述用户账号与对应的用户密码预先生成;
所述服务器若检测到所述登录请求中的Referer值以预设域名开头,且所述第一HTTP请求中的token值为所述预设值,则所述服务器向所述用户终端发送一随机生成的盐值,其中,所述登录请求中包括用户账号;
所述用户终端根据用户输入的登录账号及登录密码生成第一验证散列值,并根据所述第一验证散列值与所述盐值生成第二验证散列值发送给所述服务器;
所述服务器根据所述用户账号查找对应的所述第一基准散列值,根据所述第一基准散列值及所述盐值生成第二基准散列值;
所述服务器检测所述第二验证散列值与所述第二基准散列值是否相同,若所述第二验证散列值与所述第二基准散列值相同则向所述用户终端发送登录成功通知。
9.根据权利要求7所述的***,其特征在于,所述第一HTTP请求包括用户信息上传请求;
所述用户终端接收用户输入的用户信息,采用预设密钥对所述用户信息进行异或加密得到密文后生成所述第一HTTP请求并上传给服务器;
所述服务器在响应该第一HTTP请求后,采用所述预设密钥对所述密文进行解密得到所述用户信息。
10.根据权利要求7所述的***,其特征在于,所述服务器预设有多个Struts2***及记录所述多个Struts2***的列表;
所述服务器根据所述列表,依次调用所述多个Struts2***对所述第二HTTP请求进行检测,以判断所述第二HTTP请求是否包括预设的敏感关键字。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810091901.4A CN108259619B (zh) | 2018-01-30 | 2018-01-30 | 网络请求防护方法及网络通信*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810091901.4A CN108259619B (zh) | 2018-01-30 | 2018-01-30 | 网络请求防护方法及网络通信*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108259619A CN108259619A (zh) | 2018-07-06 |
CN108259619B true CN108259619B (zh) | 2021-08-24 |
Family
ID=62742293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810091901.4A Active CN108259619B (zh) | 2018-01-30 | 2018-01-30 | 网络请求防护方法及网络通信*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108259619B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769081B (zh) * | 2018-07-11 | 2020-09-11 | 中国人民解放军国防科技大学 | 一种检测xss攻击的方法、装置及计算机可读存储介质 |
CN111953668B (zh) * | 2020-07-30 | 2023-04-07 | 中国工商银行股份有限公司 | 网络安全信息处理方法及装置 |
CN112199327A (zh) * | 2020-08-24 | 2021-01-08 | 杭州雷数科技有限公司 | 用于处理文件的服务方法、***、电子设备和存储介质 |
CN112099846A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于随机字符异或运算的webshell免杀方法 |
CN113542287A (zh) * | 2021-07-21 | 2021-10-22 | 山东浪潮通软信息科技有限公司 | 网络请求的管理方法和装置 |
CN114760127B (zh) * | 2022-04-08 | 2023-10-03 | 多点生活(成都)科技有限公司 | 一种基于零代码的多接口鉴权访问方法 |
CN115102712B (zh) * | 2022-05-17 | 2024-04-16 | 刘勇 | 一种增强的终端标识的方法、装置、电子设备及储存介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
CN105376261A (zh) * | 2015-12-21 | 2016-03-02 | Tcl集团股份有限公司 | 一种用于即时通讯消息的加密方法及*** |
CN106657002A (zh) * | 2016-11-11 | 2017-05-10 | 广东工业大学 | 一种新型防撞库关联时间多密码的身份认证方法 |
CN107612926A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于客户端识别的一句话WebShell拦截方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895516B (zh) * | 2009-05-19 | 2014-08-06 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击源的定位方法及装置 |
CN105743869A (zh) * | 2014-12-12 | 2016-07-06 | 阿里巴巴集团控股有限公司 | Csrf攻击防范方法、网站服务器及浏览器 |
US9660809B2 (en) * | 2015-08-07 | 2017-05-23 | Adobe Systems Incorporated | Cross-site request forgery defense |
-
2018
- 2018-01-30 CN CN201810091901.4A patent/CN108259619B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
CN105376261A (zh) * | 2015-12-21 | 2016-03-02 | Tcl集团股份有限公司 | 一种用于即时通讯消息的加密方法及*** |
CN106657002A (zh) * | 2016-11-11 | 2017-05-10 | 广东工业大学 | 一种新型防撞库关联时间多密码的身份认证方法 |
CN107612926A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于客户端识别的一句话WebShell拦截方法 |
Non-Patent Citations (2)
Title |
---|
Web应用的漏洞检测与防范技术研究;曹黎波;《中国优秀硕士学位论文全文数据库》;20160331;正文第2.1节、2.4节、3.1.5节、4.4节 * |
曹黎波.Web应用的漏洞检测与防范技术研究.《中国优秀硕士学位论文全文数据库》.2016, * |
Also Published As
Publication number | Publication date |
---|---|
CN108259619A (zh) | 2018-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108259619B (zh) | 网络请求防护方法及网络通信*** | |
US8775818B2 (en) | Multifactor validation of requests to thwart dynamic cross-site attacks | |
Jovanovic et al. | Preventing cross site request forgery attacks | |
Huang et al. | Using one-time passwords to prevent password phishing attacks | |
Zeller et al. | Cross-site request forgeries: Exploitation and prevention | |
US8332627B1 (en) | Mutual authentication | |
Zheng et al. | Cookies Lack Integrity:{Real-World} Implications | |
US20070005984A1 (en) | Attack resistant phishing detection | |
JP2009527855A (ja) | クライアントサイド攻撃対抗フィッシング検出 | |
Adida | Beamauth: two-factor web authentication with a bookmark | |
CN108259406B (zh) | 检验ssl证书的方法和*** | |
CN105721411A (zh) | 一种防止盗链的方法、防止盗链的服务器及客户端 | |
JP6374947B2 (ja) | 回復機能を有し、かつ復元可能な動的装置識別 | |
JP2009527855A5 (zh) | ||
US10348701B2 (en) | Protecting clients from open redirect security vulnerabilities in web applications | |
CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
CN109617917A (zh) | 地址虚拟化Web应用安全防火墙方法、装置和*** | |
Nagunwa | Behind identity theft and fraud in cyberspace: the current landscape of phishing vectors | |
KR101228896B1 (ko) | 도메인의 신뢰 ip 주소를 이용한 업데이트 서버 접속 장치 및 방법 | |
Singh et al. | Detection and prevention of phishing attack using dynamic watermarking | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
Tsow | Phishing with Consumer Electronics-Malicious Home Routers. | |
JP4921614B2 (ja) | 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
Ellahi et al. | Analyzing 2FA phishing attacks and their prevention techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |