CN115514548A - 一种保障互联网应用安全的方法及装置 - Google Patents
一种保障互联网应用安全的方法及装置 Download PDFInfo
- Publication number
- CN115514548A CN115514548A CN202211129106.2A CN202211129106A CN115514548A CN 115514548 A CN115514548 A CN 115514548A CN 202211129106 A CN202211129106 A CN 202211129106A CN 115514548 A CN115514548 A CN 115514548A
- Authority
- CN
- China
- Prior art keywords
- operation step
- uplink data
- actual operation
- service
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- Development Economics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种保障互联网应用安全的方法及装置,装置即逻辑防火墙架设于服务端的应用服务器之前,针对每个应用,获取当前实际操作步骤对应的上行数据;识别用户在应用所请求的业务;获取业务流程的按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别上行数据在业务的流程中对应的预设操作步骤;若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,有效实际操作步骤的顺序与业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器;否则将当前实际操作步骤对应的上行数据转发给应用服务器。有效的解决了利用业务流程上的漏洞的攻击行为。
Description
技术领域
本发明涉及互联网安全领域,具体涉及一种保障互联网应用安全的方法及装置,这种对互联网应用安全进行保护的装置即逻辑防火墙。
背景技术
随着互联网应用的飞速的发展,互联网应用:移动APP,桌面应用,微信小程序,WEB应用等也快速发展;特别是互联网金融交易的应用,涉及到资金融通、支付、投资等各种模式,互联网金融交易有成本低、效率高、覆盖广、发展快等优点,主要由互联网支付、众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等业务组成,对促进小微企业发展和扩大就业发挥了现有金融机构难以替代的积极作用。
金融交易的飞快发展也带来了很多金融交易的互联网应用安全的诸多方便的问题,互联网业务,通常由后台服务器端特定的微服务,通过特定业务预设的特定流程,通过流程步骤节点的微服务调用以及前端客户交互操作,来完成特定的业务逻辑。
攻击者可通过修改前端提交的URI和/或、提交数据绕过访问控制检查;或目录(路径)遍历,目录爬升和回溯进行未授权访问;越权访问(垂直越权、平行越权)敏感资源,冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。造成应用流程中特定的安全检查步骤被越过,打破预设的业务流程,绕过安全检查点造成预设的逻辑检查失效,从而导致了安全问题。
发明内容
本发明实施例提供一种保障互联网应用安全的方法及装置,这种对互联网应用安全进行保护的装置即逻辑防火墙,来解决互联网应用安全问题。
为达上述目的,一方面,本发明实施例提供一种保障互联网应用安全的方法,将逻辑防火墙架设于服务端的应用服务器之前,所述保障互联网应用安全的方法包括:
针对每个应用,通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
根据请求应用的上行数据解析出请求路径、上行参数并保存,根据请求路径、上行参数识别用户在应用所请求的业务;
获取所述业务的流程中按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;
获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
另一方面,本发明实施例提供一种保障互联网应用安全的装置,所述保障互联网应用安全的装置即逻辑防火墙,将所述逻辑防火墙架设于服务端的应用服务器之前,所述逻辑防火墙包括:
数据获取单元,用于针对每个应用,获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
数据解析单元,用于根据请求应用的上行数据解析出请求路径、上行参数并保存;
流程识别单元,用于根据请求路径、上行参数识别用户在应用所请求的业务;获取所述业务流程的按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;
流程检查单元,用于获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
上述技术方案具有如下有益效果:通过对用户发送的实际操作步骤对应的上行数据进行解析,得到求应用的上行数据解析出请求路径、上行参数;根据请求路径、上行参数识别用户在应用所请求的业务、以及所述上行数据在所述业务的流程中对应的预设操作步骤;逻辑防火墙通过对业务流程的操作步骤进行检查验证,有效的解决了利用业务流程上的漏洞的攻击行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的保障互联网应用安全的方法的流程示意图;
图2是本发明实施例的逻辑防火墙的结构示意图;
图3是传统防火墙的网络结构示意图;
图4是本发明实施例的逻辑防火墙的网络结构示意图;
图5是本发明实施例的逻辑防火墙的另一结构示意图;
图6是本发明实施例的逻辑防火墙的防护流程。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,结合本发明的实施例,提供一种保障互联网应用安全的方法,将逻辑防火墙架设于服务端的应用服务器之前,逻辑防火墙实施使用和传统防火墙类似,对原有应用的后端应用服务***以及客户使用的前端***不需要任何修改,通过逻辑防火墙的流程以及步骤验证的防护设置,以及启用防护,来达到保护互联网应用安全的目的。
所述保障互联网应用安全的方法包括:
S101:针对每个应用,通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
S102:根据请求应用的上行数据解析出请求路径、上行参数并保存,根据请求路径、上行参数识别用户在应用所请求的业务;
S103:获取所述业务流程的按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;且一个应用包括至少一个业务;
S104:获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
S105:若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
S106:若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该业务的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
优选地,在所述若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后,还包括:
S107:针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,当确定设置对当前实际操作步骤的上行数据的特定字段进行验证时,则根据预设的验证方式对当前实际操作步骤的上行数据进行验证;所述对特定字段的验证包括验证字段类型、字段范围、字段的数据格式、字段是否缺失,且字段类型包括脱敏字段;其中,所述针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,具体包括:采用当前实际操作步骤之前实际操作步骤的上行数据和/或、下行数据,与当前实际操作步骤的上行数据和/或、下行数据之间的所定义的逻辑来验证当前实际操作步骤的上行数据;
S108:在当前实际操作步骤对应的上行数据通过验证后,将当前实际操作步骤对应的上行数据转发给应用服务器;
S109:否则,停止将当前实际操作步骤对应的上行数据转发给应用服务器。
优选地,还包括S110:根据用户请求应用发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识,以及获取应用服务器根据所述上行数据返回的下行数据,对所述下行数据进行解析确定用户唯一标识;将包含所述用户唯一标识相同的上行数据、下行数据认定为同一用户的上行数据、下行数据;其中,每个所述实际操作步骤还包括根据所述上行数据返回给用户的下行数据;
S120:将所述业务的上行数据、下行数据解析后,将原始的上行数据、下行数据按照各自生成时间的顺序保存,设置该用户关于该请求所述业务的上行数据、下行数据的生命周期;
所述保障互联网应用安全的方法,还包括:
S130:在当前实际操作步骤对应的上行数据通过验证后,将应用服务器根据所述上行数据返回的下行数据进行返回,获取应用服务器根据所述上行数据返回的下行数据,对返回的下行数据解析,解析出的用户唯一标识,下行数据返回给用户。
优选地,在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,还包括:
S140:若所述上行数据在所述业务流程中对应的预设操作步骤为非防护流程中的步骤,则将当前实际操作步骤对应的上行数据转发给应用服务器;
S150:若所述上行数据在所述业务流程中对应的预设操作步骤为是所述业务的开始步骤,则清除所述用户关于所述业务的所有历史上行数据、下行数据,并自所述开始步骤开始重新保存实际操作步骤对应的上行数据、下行数据;
S160:判断当前实际操作步骤是否在流程过期时间内是否完成,若当前实际操作步骤在过期时间内未完成,则清除所述用户关于所述业务的所有历史上行数据、下行数据,重新开始保存所述业务的上行数据、下行数据。
优选地,在所述将逻辑防火墙架设于服务端的应用服务器之前的同时,还包括S170:
通过应用具有的应用程序接口API说明书和/或、应用操作手册,确定所述业务流程的按预设顺序组成的各预设操作步骤;或
通过查看所述业务的操作日志,根据请求的上行数据、下行数据、上行数据内的上行参数以及请求的逻辑顺序,确定所述业务流程的按照预设顺序组成的各预设操作步骤。
如图2所示,结合本发明的实施例,提供一种保障互联网应用安全的装置,即逻辑防火墙架设于服务端的应用服务器之前,所述逻辑防火墙包括:
数据获取单元21,用于针对每个应用,获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
数据解析单元22,用于根据请求应用的上行数据解析出请求路径、上行参数并保存;
流程识别单元23,用于根据请求路径、上行参数识别用户在应用所请求的业务;获取所述业务流程的按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;
流程检查单元24,用于获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
优选地,还包括步骤数据检查单元,所述步骤数据检查单元,具体用于:
在所述若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后,针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,当确定设置对当前实际操作步骤的上行数据的特定字段进行验证时,则根据预设的验证方式对当前实际操作步骤的上行数据进行验证;所述对特定字段的验证包括验证字段类型、字段范围、字段的数据格式、字段是否缺失,且字段类型包括脱敏字段;其中,所述针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,具体包括:采用当前实际操作步骤之前实际操作步骤的上行数据和/或、下行数据,与当前实际操作步骤的上行数据和/或、下行数据之间的所定义的逻辑来验证当前实际操作步骤的上行数据;
在当前实际操作步骤对应的上行数据通过验证后,将当前实际操作步骤对应的上行数据转发给应用服务器;否则,停止将当前实际操作步骤对应的上行数据转发给应用服务器。
优选地,还包括数据转发单元、内存数据库,其中:
所述数据解析单元,还用于根据用户请求应用发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识,以及获取应用服务器根据所述上行数据返回的下行数据,对所述下行数据进行解析确定用户唯一标识;将包含所述用户唯一标识相同的上行数据、下行数据认定为同一用户的上行数据、下行数据;其中,每个所述实际操作步骤还包括根据所述上行数据返回给用户的下行数据;
所述内存数据库,用于将所述业务的上行数据、下行数据解析后将原始的上行数据、下行数据按照各自生成时间的顺序保存,设置该用户关于该请求所述业务的上行数据、下行数据的生命周期;
所述数据转发单元,用于在当前实际操作步骤对应的上行数据通过验证后,将应用服务器根据所述上行数据返回的下行数据进行返回;获取应用服务器根据所述上行数据返回的下行数据,对返回的下行数据解析,解析出的用户唯一标识,下行数据返回给用户。
优选地,所述内存数据库包括第一清理子单元、第二清理子单元,其中:
所述流程识别单元,还用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,若所述上行数据在所述业务流程中对应的预设操作步骤为非防护流程,则将当前实际操作步骤对应的上行数据转发给应用服务器;
所述第一清理子单元,用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,若所述上行数据在所述业务的流程中的对应的预设操作步骤为是所述业务的开始步骤,则清除所述用户关于所述业务的历史所有上行数据、下行数据,并自所述开始步骤重新开始保存实际操作步骤对应的上行数据、下行数据;
所述第二清理子单元,用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,判断当前实际操作步骤是否在流程过期时间内是否完成,若当前实际操作步骤在流程过期时间内未完成,则清除所述用户关于所述业务的所有历史上行数据、下行数据,重新开始保存所述业务的上行数据、下行数据。
优选地,还包括:
业务操作流程获取单元,用于在所述逻辑防火墙架设于服务端的应用服务器之前的同时,通过应用具有的应用程序接口API说明书和/或、应用操作手册,确定所述业务流程的按预设顺序组成的各预设操作步骤;或
通过查看所述业务的操作日志,根据请求的上行数据、下行数据、上行数据内的上行参数以及请求的逻辑顺序,确定所述业务流程的按照预设顺序组成的各预设操作步骤。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
为了解决互联网应用安全风险问题,结合根据OWASP发布了2021年Top 10十大Web应用安全风险榜单报告,本发明从有效的保护应用逻辑正确执行的方式来防止互联网的应用安全风险;OWASP虽然给出的是Web应用安全风险,但是对于微信小程序,移动APP以及分布式调用的桌面应用都具有较强的普适性。由于当前的互联网应用多采用云端的微服务提供前端应用调用来完成业务逻辑;其中,一个完整的互联网业务一般由后台服务器端多个特定微服务组成,通过微服务按照一定的业务流程组合调用来完成特定的业务逻辑。具体为:根据特定业务预设的特定流程,通过流程节点的微服务调用以及前端客户交互操作,来完成特定的业务逻辑。
本发明针对互联网业务的微服务调用模式给出了利用逻辑防火墙的安全防护方法,来有效的解决互联网的应用安全防护问题。逻辑防火墙通过有效控制业务流程的流转顺序以及微服务调用上行数据和返回数据的安全来保证了业务调用的安全。从而得到保护互联网应用逻辑安全的效果。本发明是保证业务有效正确执行的方式来杜绝其它安全风险发生方式来阻击风险的,而非通过非安全的数据特征或行为特征来阻击风险目的。
本发明实施例为具有逻辑防火墙的应用安全防护方法,能够解决现有技术中的应用逻辑安全问题,也就能够避免互联网金融交易过程中的金融交易安全问题。攻击者的操作中会越过业务逻辑或流程设置中的关键检查步骤,直接进行交易请求,利用安全漏洞,直接导致用户的资金的损失;逻辑防火墙控制应用按照设计者预设的逻辑进行操作,并且攻击者不能违反“设计者预设的流程和流程数据流转”,攻击者不按照“设计者预设的流程和流程数据流转”操作立即被阻止,从而杜绝“应用逻辑安全”的出现,保障互联网交易特别是金融交易的安全。传统防火墙是互联网安全中不可或缺的安全设备,但是防火墙往往是从***层面、网络层面、通讯协议等层面的安全防护,没有涉足多次请求交互组合而成的业务逻辑安全。
本发明实施例中,应用包括与金融交易相关的应用,业务是由业务流程的各个节点的相应微服务组成,一个应用逻辑组成,包括应用的流程和流程流转的数据,如果要想有效的控制业务逻辑,必须确保应用按照设计者预设流程进行流转,并且在流程流转过程中的数据都进行了有效保护,那么则可有效控制业务逻辑。当用户发起的应用的流程或流程中流转的数据被篡改,逻辑防火墙将阻击应用业务的继续进行,从而有效杜绝具有“应用逻辑安全”问题的交易的出现。逻辑防火墙能够有效的杜绝类似互联网金融交易安全问题的出现,对当前的互联网应用安全方面至关重要。
在安装设置逻辑防火墙时,无需修改现有的应用***,在有效的保证现有的应用的应用流程和应用数据安全的同时,能够有效保证***的可实施性和低成本的特性。
一、逻辑防火墙的模块组成
将逻辑防火墙架设在服务端应用服务器之前,逻辑防火墙对用户发送的实际操作步骤顺序进行检查,对实际操作步骤内的数据进行检查来达到保证应用服务器的应用流程和数据安全的目的;传统的防火墙的网络结构示意图如图3。而增设逻辑防火墙的网络结构示意图如图4。
逻辑防火墙具有应用报文转发功能,即逻辑防火墙接收用户的请求报文转发给应用服务器,同时将应用服务器返回报文转发给客户端,在转发过程中截获上行的请求报文和应用服务器返回的下行报文信息,进行安全验证。如图5所示,逻辑防火墙主要由以下的模块组成。
1、数据解析模块
根据用户的请求,数据解析模块在用户的会话(不限于session或令牌)中通过用户唯一标识识别唯一用户,获取上行数据和下行数据,并解析,保存在内存数据库中;并对保存的流程设置特定的过期时间,过期后自动清理流程数据。
根据用户唯一标识,按照时间先后记录用户的请求路径URI和上行参数、应用服务器返回的下行数据。
2、流程定义模块
服务端的应用都是由特定的预设操作步骤组成。当用户发送实际操作步骤时,根据实际操作步骤对应的上行数据解析出URI和请求参数。
根据业务的预设操作步骤、与URI和请求参数,确定实际操作步骤在应用中对应的预设操作步骤,逻辑防火墙管理人员需要对特定的业务的操作步骤设置“流程步骤验证”属性,并且保存设置数据到逻辑防火墙的设置信息中保存;用于对实际操作步骤进行验证。
3、数据定义模块
流程步骤节点的数据,有前端客户录入数据并且提交的数据,也有应用服务器通过微服务逻辑处理后返回的数据;根据实际业务设置操作流程节点操作步骤上/下行数据,对特定字段设置“是否验证”属性,并且给出验证方式,保存配置数据到逻辑防火墙的配置信息中,用于后续对实际操作步骤的上行数据进行验证。
4、流程解析模块
因为服务端应用,不同业务都是由特定的预设操作步骤组成。根据对用户的实际操作步骤所解析出的已经保存的URI和上行参数,识别实际操作步骤具体是哪一个业务的哪一个预设操作步骤。
5、流程防护模块
在用户的业务操作过程中,根据业务的预设操作步骤对客户发送的实际操作步骤进行识别,并且存在验证属性时,根据验证属性对应的验证方式对需要进行验证的实际操作步骤进行验证,验证在当前实际操作步骤之前是否缺少其他与预设操作步骤对应的实际操作步骤,验证实际操步骤的顺序是否与预设操作步骤的顺序是否一致。
由于客户的操作不可越过特定的预设操作步骤和预设操作步骤的顺序,一旦出现实际操作步骤缺失、实际操作步骤的顺序与预设操作步骤的顺序不一致,客户端的交易请求被阻止。
6、数据防护模块
在用户的业务操作过程中,根据节点预设操作步骤内的特定字段设置“是否验证”属性,对用户的实际操作步骤的数据进行验证,具体为根据所设置的验证方式进行提交的实际操作步骤的数据和历史步骤的数据进行检查和比对,确保预设操作步骤所组成的业务流程的数据在用户端进行业务操作过程中不被篡改。
在用户的业务操作过程中,根据节点预设操作步骤内的特定字段的数据格式检查规则进行验证,具体体现在数据类型、是否为空、最小值、最大值、最小长度、最大长度、以及定义的正则表达式验证,这是对部分***设计和开发缺陷的补充。防止数据输入错误造成的异常性错误,同时对数据格式的验证可以有效的阻击注入的攻击行为。
上述的数据保护体现在对于上行数据的保护,数据保护还体现在对于下行数据的保护。在用户的业务操作过程中,根据节点预设操作步骤内的特定的字段设置的特定脱敏规则对请求的返回数据进行脱敏,对敏感数据进行保护,避免敏感数据泄漏。敏感数据的脱敏目的是为了屏蔽敏感信息,但是对于客户端需要将脱敏数据重新作为请求返回应用服务器端的情况,逻辑防火墙是需要将脱敏的数据重新还原发送给应用服务器端,如未找到保存的对应的脱敏数据,逻辑防火墙将拒绝请求,返回错误提示信息。
二、逻辑防火墙的设置
在逻辑防火墙正式投产运行前,需要对逻辑防火墙做初始化设置工作。逻辑防火墙管理操作人员,登录逻辑防火墙管理端,设置逻辑防火墙的IP地址、服务端口、以及应用对应的应用服务器的目标的地址和端口用于转发;设置用户会话识别方式,这里以会话ID(sessionid)为判断客户的唯一标识来说明。
在逻辑防火墙没有任何流程步骤的验证和数据验证的情况下,进入设置工作模式。首先,客户以正常的用户进行登录,这里以网上银行转账交易举例说明;假设以下是一个银行转账的业务,以正常的业务流程操作。
(一)正常业务操作
用户(客户)登录应用后,选择转账模块,进入转账的功能页面。
1、转账编辑页面
同时返回客户的客户转出账户列表和常用收款人收款账户列表,举例:
转出账户列表为:99000000001,99000000002,99000000003;
收款账户列表为:88000000001,88000000002,88000000003。
(1)、选择转出账户
客户根据账户列表选择需要转出资金的账户,举例:客户选择:99000000002。
(2)、选择常用收款人账户
选择目标收款账户的信息,举例:客户选择:88000000001
(3)、转账其它录入
选择转账方式,录入转账的金额,确认提交选择和录入信息,后端***进行服务验证和检查工作。
举例:客户转账金额:5000元
(4)、确定提交
举例:提交返回转账信息,要求客户再次转账确认
2、转账确认
如果应用服务器后端检查没有问题,正确返回客户操作的界面将切换到以只读方式显示,显示转账具体信息的界面,让客户再次确认。
(1)、返回结果
返回结果再次显示为,例如:
转出账户:99000000002
转入账户:88000000001
转账金额:5000元
其他信息,这里省略
(2)、再次确认
客户检查无误,再次确定转账信息无误提交
3、结果显示
再次确认提交,如果后端逻辑判断正常,并且转账调用正常,将返回操作成功。
后端失败,将返回失败信息。
(二)逻辑防火墙日志信息
查看逻辑防火墙日志记录信息,根据客户的会话ID(sessionid)的唯一性,查看以上的业务操作得到的业务步骤的URI和上行数据记录、下行数据记录,根据会话ID和时间排序查看到一段通讯报文的记录日志表如表1。
表1
通过查看操作日志,确定转账交易的操作的报文请求以及请求的逻辑顺序、以及请求的参数,也就是要确定业务的按照预设顺序组成的各预设操作步骤。当然也可以根据报文接口的API说明书和/或、应用操作手册来对照,确定业务的预设顺序以及业务流程组成的各预设操作步骤。
(三)逻辑防火墙业务流程设置
通过逻辑防火墙管理控制台设置,新建转账交易的保护设置表如表2、表3、表4,进行转账交易的流程及数据的定义,并且保存在逻辑防火墙的设置信息中。
1、流程属性设置
表2
表2是对流程属性验证的设置:
(1)、是否启用
Y标识,应用防护启用,否则表示应用防护不启用。
(2)、会话验证
会话验证,是验证上行请求是否存在会话,没有会话标识,可能存在潜在的客户没有登录的问题,同样对流程数据的数据获取,确定是同一个用户的操作流程内的数据也是通过会话标识来确定的,如何没有会话标识表示交易非法。
(3)、超时时间
交易超时,是定义了这个业务操作开始和结束的最大时间,防止用户操作中途网络断开或放弃,后续操作被其他非法客户窜用;超时就表示非法,***中断交易。
(4)、流程步骤顺序验证
检查交易流程的操作步骤,是否符合定义的顺序步骤,不符合为交易非法。
(5)、流程步骤异步交易检查
流程步骤异步交易检查,是对特定的一个客户的交易流程过程中,Y表示在完整的流程中,检查客户的操作,在流程中,不容许***其它的非本流程定义的对服务器端的调用操作,反之容许。Y实际上更加严格防护,防止黑客***其他操作非法获取其它的和流程相关的其它数据,为Y时,非流程定义操作将清理整个业务保存数据,这样交易只能重新开始,N不限制流程步骤中有其它的异步的微服务请求。
2、流程步骤间数据验证设置
表3
表3是对步骤的上行数据数据验证规则的设置,从客户端防护的角度,认为服务器端下行的数据是安全可信任的,所以只对客户端上行数据利用历史步骤的数据进行步骤间数据验证规则的设置。
表3中的“步骤数据验证规则”,给出了上行数据的验证设置,以对客户发送的实际操作步骤对应的上行数据进行验证,是和历史步骤的上行和下行数据字段的逻辑比较。
(1)、是否验证
表示是否对上行字段进行验证。
(2)、历史步骤
表示当前交易记录表中的数据和历史步骤的哪一个步骤(用步骤序号定位具体步骤)进行比较;
(3)、历史上行/下行
是指和上行/下行数据还是下行数据进行比较。
(4)、对比历史字段
是对比的字段名称;
(5)、逻辑判断
逻辑判断是指当前字段和历史字段之间判断的逻辑关系,逻辑判断true表示验证通过,false表示验证失败。所举例的逻辑判断,只是等于,大于,小于,包含等的简单逻辑判断,***支持写入逻辑判断脚本进行逻辑判断,逻辑判断脚本的支持bash,js,java,python等多种语法。
3、数据脱敏和格式化验证
表4
表4中给出了下行数据的脱敏保护方式和上行数据的“数据格式验证”的设置,对于部分***验证不完备或设计缺陷是一个有效的补充。
(1)、脱敏规则
对于微服务的下行数据的保护,本***主要体现在敏感数据的脱敏;***可以指定特定的下行数据按照预定的系列的脱敏规则进行脱敏,并且将原数据和脱敏数据对应保存后,将脱敏后的数据返回给客户端端显示,以达到对敏感数据的保护效果。
比如对于表4中给出的“星号掩码”是一种掩码规则,前后端保留3位正常显示,其它使用*替换。
(2)、数据类型
对数据类型进行验证,检查数据的类型是否合法,如不合法,则验证检查失败。
(3)、是否为空
对数据是否为空进行检查,如果数据要求不为空,实际发送字段为空,则验证检查失败。
(4)、最小值/最小长度
对于数值和时间等类型使用指定最小值,小于最小值,则验证检查失败。对于字符串类型,如果输入的字符串长度小于最小长度,则验证检查失败。
(5)、最大值/最大长度
对于数值和时间等类型使用指定最大值,大于最小大值则验证检查失败。对于字符串类型,如果输入的字符串长度大于最大长度,则验证检查失败。
(6)、正则表达式
正则表达式的验证是及其灵活的数据格式化验证方式,比如验证是否是电话号码、否是邮箱、手机号、银行***和银行账号的诸多自定义的规则验证;如果不符合规则,则验证检查失败。
对于除了脱敏的规则设置外的其它验证规则,***验证检查失败,将拒绝客户端的请求。
三、工作原理
逻辑防火墙的设置只是举例进行了一个交易的防护设置,更多业务的逻辑防护的设置方式和过程是一致的,这里只用于举例说明,不做过多的业务的***(逻辑防火墙)设置工作描述,其它业务设置根据业务流程和上下行请求去设置和转账交易是类似的。
逻辑防火墙设置完成后,运行***,运行工作过程如下:选择业务流程定义表,将是否启用字段修改为“Y”,“转账交易”的设置如前所属的设置数据,加载到运行***配置表中,即立即进入“转账交易”逻辑防护攻击运行状态。通过图6能够清晰的表达出逻辑防火墙是如何进行防护的。首先逻辑防火墙加载了流程和流程节点的数据的配置。
1、解析请求数据
通过“数据解析模块”,解析出请求(实际操作步骤)的URI和上行的参数,如果实际操作步骤对应的预设操作步骤不是流程防护所要保护的业务处理交易(不是所要保护的预设操作步骤的URI)定义,跳去处理结束,如果是流程定义的交易步骤会话标识不存在会话标识拒绝请求。
如果是保护的特定的业务处理交易,进入下一步。
2、是否是开始步骤
如果实际操作步骤对应的是开始步骤,则清理内存数据库特定业务历史保存数据(部分交易可能没有做完整,被用户取消,用户重新处理,所以要清理以前的数据),并且保存本次开始步骤开始的上行数据。如果不是开始处理步骤,直接并且保存上行数据进入下一步。
3、流程是否过期
为了防止用户只做了部分交易没有完成,一定时间后又重新开始此业务,所以需要根据流程设置的过期时间来判断流程(实际操作步骤)是否过期,为了安全考虑,如果流程(实际操作步骤)过期了,则清除内存数据库特定业务历史保存数据,保证数据检查的有效性和合理性。这里通过流程设置的过期时间来判断,过期就进行清理。
4、流程步骤检查
根据请求路径(URI)的判断业务流程的实际操作步骤的完整性,比如转账交易,当前的交易为“转账提交”,如果在业务流程的请求的历史记录列表中,在“转账提交”之前未找到“转账编辑”步骤和/或、“转账确认”步骤,说明此交易违法。
没有“转账编辑”步骤和/或、“转账确认”步骤就发生的“转账提交”从业务流程上是不合法的。
同样如果当前是“转账确认”步骤,在“转账确认”之前的历史中未找到“转账编辑”步骤,从业务流程上是不合法的。
所以通过流程步骤检查,从业务流程规避了一些不合法的攻击请求,比如:只做最后一步预设操作步骤对应的“转账行为”,而跳过前面的业务流程(预设操作步骤),则可能是黑客的攻击行为,所以直接返回错误提示,不对应用服务器做请求,避免了客户的违法非安全的交易。
上例转账流程设置中“流程步骤异步交易检查”“Y”表达的是:容许在转账的实际操作步骤过程中,用户可以进行其他的业务的交易请求,比如余额查询等交易;如果“N”表示,严格对交易流程检查,在转账的实际操作步骤过程中,交易请求要严格按照交易流程定义的各预设操作步骤执行,非流程定义的预设操作步骤,将拒绝执行,严格按照业务定义的流程执行。
5、步骤数据检查
对各实际操作步骤数据进行检查,对实际操作步骤对应的上行数据按照设置的特定字段进行检查。
在对流程历史步骤数据的检查中:
如当前的步骤为“转账提交”步骤中转出账户(outno)的数据和“转账确认”上行的转出账户(outno)数据不同,说明数据被篡改,将终止交易拒绝执行。
如当前的步骤为“转账确认”步骤中转出账户(outno)的数据不在“转账编辑”下行的转出账户列表(outlist)数据范围内,同样说明数据被篡改,将终止交易拒绝执行。
如上文如果一个网银客户,非法的将自己的转出账户,在页面提交的时候替换为行内他人的账户,并且转账到自己确认的银行账户上。这种非法篡改转出账户实际就是一种非法的盗用他人银行账户款项的盗窃行为,由于逻辑防火墙具有数据防篡改功能,可以杜绝此类问题的发生。
类似的案例同样发生于多家银行的网银的账户余额查询功能上,一个合法的网银客户登录后,根据自己的银行账户列表选择后,发起账户余额查询交易,在客户端选择后,在提交查询余额前,客户篡改了提交的账户为本行的其他人员的账户(由于账号和***是预制的,具有连续性很方便枚举),进行余额查询;如果后端没有有效的验证***/账户所有人是否为登录的当前的客户的***/账户,将发生银行其他客户的账户资金泄密问题。
对于上行数据格式的检查,一般应用服务端数据检查都进行了数据格式的合法行验证,本发明中给出的上行数据的格式检查,是对应用服务器端验证不足的一个补充。
对于设置了脱敏规则的下行数据,按照脱敏规则进行脱敏;但对前端选择此脱敏数据并且再次提交回应到服务器后端的情况,逻辑防火墙需要将通过已经保存的原数据以及脱敏数据对应规则,还原为原数据返回给应用服务器。
对于星号掩码方式处理的数据前端正常用户知道是哪个账号,对于非法窜改者通常不知道具体账号,再想篡改数据往往无从下手。即使篡改了客户端数据后,往往由于逻辑防火墙无法还原脱敏数据对应的原数据,客户端请求将被拒绝,所以脱敏数据也有防范客户端篡改的功能。
6、调用后台服务,保存下行数据
当实际操作步骤通过流程的步骤检查和步骤数据检查后,则将实际操作步骤的请求转发给应用服务器,调用应用服务器后端逻辑处理,并且将返回的下行数据保存到内存数据库中,以备后续步骤进行数据验证。
7、是否最后步骤
如果实际操作步骤是业务的最后步骤,则在最后步骤结束后清理关于此交易的保存数据,以备同一客户的相同交易的重新开始。
本发明实施例,所取得的有益效果如下:
通过本发明的安全防护方法,逻辑防护是对业务逻辑的完整防护,不同的业务体现的防护不同,这个主要看业务本身存在什么样的风险和漏洞,由于逻辑防火墙保证了业务逻辑是完整性,所以它还能防止未知的逻辑不完整的漏洞问题。
针对当前的微服务***盛行,将后端的业务逻辑拆的越来越小(微服务),灵活性越来越强,为实现业务逻辑的完整性,是通过业务流程和流程节点执行的微服务来完成的,完成相同业务行为的微服务粒度越小,则意味者业务流程即业务逻辑就越复杂。微服务的应用将业务逻辑拆分为很多客户端和服务器端交互的步骤,通过很多步骤构成了一个独立的业务处理过程。但是黑客的攻击行为往往不采用正常的请求流程和正常的数据来请求***,而是跳过***预设的流程进行的攻击行为。但是业务流程已经被大量的微服务碎片化了,所以基于业务逻辑保护的逻辑防火墙的出现就特别重要。特别在金融交易***或互联网的金融交易行为中。
当前诸多互联网应用的业务流程的逻辑控制是由前端***控制的,比如:web页面,微信小程序,手机APP,其它桌面应用等,流程节点流转数据都存在前端***的中,由于流程由客户前端***内的应用来控制对服务端微服务的请求顺序来完成流程;这些前端***可能存在潜在的风险,一但黑客使用非法的手段篡改请求的流程顺序以及请求数据,就打破了业务逻辑的完整性,就暴露了业务逻辑的漏洞,就产生了安全风险。
逻辑防火墙正好通过对业务流程的约束和流程节点的字段数据防护,防御了前端不安全的环境造成的潜在的风险,有效的解决了当下互联网业务逻辑安全的问题。弥补了微服务大量使用对业务逻辑造成的失控,以及很多互联网***的业务流程没有保护措施所造成的业务流程上潜在的逻辑安全问题。从上面的实例的具体业务层面看,逻辑防火墙至少实现了以下的业务防护功能:(1)、防止客户端篡改数据的行为:网络交易时,对修改转出账户和转入账户潜在的风险进行了防护,通过对转出账户和转入账户的数据验证,保证了账户的安全。(2)、防止了转账重放攻击行为:最后一个步骤才是真正发生转账,如果跃过前面步骤,直接进行最后的微服务的请求的行为将会被逻辑防火墙阻止。
逻辑防火墙通过对业务流程和流程节点数据的保护,从而有效解决了利用业务流程以及微服务调用漏洞的攻击行为;也避免了在客户端的数据交互过程中通过业务流程的数据关系上的漏洞,有效的阻止了业务流程处理过程中的安全问题;流程不可改变和流程步骤节点的数据不可改变实际就保护了业务流程的整体的逻辑不可改变,从而保证来业务的安全。
上面实例从转账业务角度阐述了本专利如何进行了业务逻辑安全防护。由于逻辑防火墙是一种保护业务流程和业务数据使之按照正确业务逻辑来执行的一种保护的方式,从攻击防护的角度来说它的防护外延是无限的,甚至很多是未知的安全风险逻辑防火墙都能有效的防护。
下面从互联网应用安全角度阐述逻辑防火墙能够有效防护哪些互联网的应用安全攻击行为,具体可根据OWASP发布了2021年Top 10十大Web应用安全风险榜单来看逻辑防火墙的防护效果。
OWASP发布了2021年Top 10十大Web应用安全风险榜单列表如下,通过安全风险榜单列表能够看到逻辑防火墙具有哪些明显的防御效果。
01、2021–失陷的访问控制
从2017年的第五位上升到顶部,访问控制也被称为授权,它定义了Web应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。
逻辑防火墙***中存在会话的检查,会话标识不存在,将无法请求预设防护的交易,其次会话不一致,将会将流程和流程节点数据识别成不同的客户,将无法形成一个有效的满足业务流程的业务请求的业务操作步骤请求顺序,对于设置了安全保护的业务,将无法通过业务定义的业务流程的检查和流程数据的检查,也就无法有效完成业务功能执行。
逻辑防火墙对于即使是一个登录认证会话的合法的用户,也不能违反业务操作流程定义,进行越权操作不在流程定义内的其它路径的请求将会被拒绝。对此防护作用明显;并且防护级别更高。
02、2021–加密失败
从第三位上升到第二位,以前称为敏感数据暴露。缺乏加密通常会导致敏感数据暴露或***受损。
逻辑防火墙对于脱敏规则的设置,将对下行数据进行脱敏处理即可有效解决敏感数据暴露问题,本发明举例中给出的是将需要保护的数据通过转换处理,使客户端无法获取完整可见数据的保护模式,实际的数据保存在逻辑防火墙内存数据库中,没有暴露给客户端,但是实例中的效果是明显的。
03、2021–注入
从第一位下降到第三位,它是一种攻击者利用未经验证的输入漏洞并通过在后端数据库中运行Web应用程序注入SQL命令的技术。
逻辑防火墙对数据验证以及数据窜改的防护,对注入的防护是明显的,比如SQL注入往往利用漏洞制造特定的逻辑表达式来使SQL逻辑判断成立来达到查询、***、删除、篡改数据的目的,通过数据的有效验证将杜绝此类非法输入的发生。
04、2021–不安全的设计
这是OWASP Top 2021的一个新类别,它关注与设计和架构缺陷相关的风险。“不安全设计是一个广泛的类别,代表许多不同的弱点,表现为缺失或无效的控制设计”。
逻辑防火墙对业务逻辑有效的保护的角度来说,能够有效的解决后端微服务器的业务流程级别的设计安全问题;目前后端服务器应用普遍采用云化微服务模式,将业务逻辑高度碎片化,对于特定的业务需要通过多个微服务组合来完成,流程控制往往交给前端应用,在这个大背景下,逻辑防火墙业务流程的控制和约束在弥补了此类设计和架构缺陷相关的风险,逻辑防火墙的基于业务流程角度的安全保护,实际上是对设计和架构的安全是有效的补充。
05、2021–安全配置错误
从第六位上升到第五位,它侧重于跨应用程序堆栈的安全加固或对云服务的权限配置不当。
对于后端应用服务器的程序堆栈的安全加固,由于逻辑防火墙存在通讯层,没有加固效果;对于路径资源权限配置不当,可以通过逻辑防火墙的业务流程防护的URI配置做为特定业务流程路径防护达到保护效果。
06、2021–易受攻击和过时的组件
该风险从第二位大幅下滑至第六位,因为没有足够的攻击数据可用,此类别重点关注客户端和服务器端使用的所有组件的易受攻击版本。
易受攻击和过时的组件是一个较大的分类,需要根据具体组件易受攻击原因而言;逻辑防火墙对于前端和后端验证组件易受攻击明显具有很好的加固效果;对后端数据库组件SQL注入也有防护效果;至于其它的组件的易受攻击版本,需要具体看具体组件的易受攻击的原因来确定。
07、2021–识别和认证失败
以前被称为失陷的身份验证,此类别侧重于身份验证失败。它会导致自动攻击,例如攻击者使用用户名和密码列表的凭据填充。
由于辑防火墙涉及通讯层的会话检测,对于逻辑防火墙设置了安全防护的业务,会检查会话和流程以及流程数据的合法性,对于设置了保护的业务有一定的会话层验证防护的效果;但是对于“攻击者使用用户名和密码列表的凭据填充”没有防护效果。
08、2021–软件和数据完整性故障
这是OWASP Top 10 2021中引入的一个新类别,它侧重于与无法防止完整性违规的代码和基础设施相关的软件和数据完整性故障。
从上述的逻辑防火墙的工作原理的阐述和实例,对于设置了安全防护的业务,明显解决了基于业务流程的数据不完整性问题,这正是逻辑防火墙有效防护安全问题例证。
09、2021–安全日志记录和监控失败
从第十位上升至第九位,此类别有助于检测、升级和响应主动攻击。
在逻辑防火墙中已经明确描述了对于通讯层的上/下行数据有明确的日志和通讯监控记录,对其它没有日志和监控不完善的***是一个有效的补充。
10、2021–服务器端请求伪造(SSRF)
此类别侧重于保护Web应用程序在不验证用户提供的URL的情况下获取远程资源的连接。
在逻辑防火墙中已经明确说明对于设置了保护的业务,对会话以及会话层面的URI请求的合理性进行了安全的检查,防护效果也是明显的。
总之,从OWASP发布了2021年Top 10十大Web应用安全风险榜单来看逻辑防火墙通过对业务流程以及流程节点的数据防护手段;特别明显的防护来诸多方面的互联网安全问题。上述内容只是作为逻辑防火墙对于互联网安全问题防护的验证举例,由于逻辑防火墙的目的是保证业务逻辑按住正确的业务逻辑执行,从这个角度来说,它对诸多的其它安全问题也同样具有良好的防护效果,并且能够有效的防护一些未知的攻击防护手段。
逻辑防火墙实现对互联网应用较好的安全防护效果,不需要对原有***的前端和后端进行改动,通过逻辑防火墙***的快速设置在几分钟和十几分钟即可快速进行互联网的安全漏洞进行防护。
对于已经存在的旧的***,如果存在逻辑安全漏洞,如果没有维护人员,对于业务逻辑上的漏洞修复就很困难了,但是使用逻辑防火墙,可以首先通过业务的正常操作,再通过网络层面的日志分析出业务操作的业务流程和流程节点的数据,即可顺利进行业务逻辑保护的设置,可以很快实现攻击漏洞的防护。
对于现有维护人员的***,虽然可以从代码的漏洞层面去修改来解决漏洞的问题,但是,需要查找缺陷,重现缺陷,修改代码,编译发布,也需要一定的时间;但是逻辑防火墙可以通过业务逻辑防护设置,可以快速的堵住业务逻辑的漏洞。快速的修复,从时间上有效缩短了安全风险的存在的时间,从而相应的减小了风险出现的概率,逻辑防火墙的使用也彻底杜绝了风险的出现,也不失为一个可以快速修补业务逻辑漏洞的好工具。
互联网保障互联网应用安全的方法及相应的逻辑防火墙,是一个很好的解决当前互联网应用突出的安全问题有效的手段和方法;本***的推广和应用具有较大的经济价值和社会价值。
公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个***的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种保障互联网应用安全的方法,其特征在于,将逻辑防火墙架设于服务端的应用服务器之前,所述保障互联网应用安全的方法包括:
针对每个应用,通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
根据请求应用的上行数据解析出请求路径、上行参数并保存,根据请求路径、上行参数识别用户在应用所请求的业务;
获取所述业务的流程中按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;
获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
2.根据权利要求1所述的保障互联网应用安全的方法,其特征在于,在所述若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后,还包括:
针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,当确定设置对当前实际操作步骤的上行数据的特定字段进行验证时,则根据预设的验证方式对当前实际操作步骤的上行数据进行验证;所述对特定字段的验证包括验证字段类型、字段范围、字段的数据格式、字段是否缺失,且字段类型包括脱敏字段;其中,所述针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,具体包括:采用当前实际操作步骤之前实际操作步骤的上行数据和/或、下行数据,与当前实际操作步骤的上行数据和/或、下行数据之间的所定义的逻辑来验证当前实际操作步骤的上行数据;
在当前实际操作步骤对应的上行数据通过验证后,将当前实际操作步骤对应的上行数据转发给应用服务器;否则,停止将当前实际操作步骤对应的上行数据转发给应用服务器。
3.根据权利要求1所述的保障互联网应用安全的方法,其特征在于,根据用户请求应用发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识,以及获取应用服务器根据所述上行数据返回的下行数据,对所述下行数据进行解析确定用户唯一标识;将包含所述用户唯一标识相同的上行数据、下行数据认定为同一用户的上行数据、下行数据;其中,每个所述实际操作步骤还包括根据所述上行数据返回给用户的下行数据;
将用户所述业务的上行数据、下行数据解析后按照各自生成时间的顺序保存,设置该用户关于该请求所述业务的上行数据、下行数据的生命周期;
所述保障互联网应用安全的方法,还包括:
在当前实际操作步骤对应的上行数据通过验证后,将应用服务器根据所述上行数据返回的下行数据进行返回。
4.根据权利要求3所述的保障互联网应用安全的方法,其特征在于,在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,还包括:
若所述上行数据在所述业务的流程中对应的预设操作步骤为非防护流程中的步骤,则将当前实际操作步骤对应的上行数据转发给应用服务器;
若所述上行数据在所述业务的流程中对应的预设操作步骤为是所述业务的开始步骤,则清理所述用户关于所述业务在最近第一预设时间内保存的上行数据、下行数据,并自所述开始步骤重新开始保存实际操作步骤对应的上行数据、下行数据;
判断当前实际操作步骤是否在流程过期时间内是否完成,若当前实际操作步骤在流程过期时间内未完成,则清除所述用户关于所述业务的所有上行数据、下行数据,重新开始保存所述业务的上行数据、下行数据。
5.根据权利要求1所述的保障互联网应用安全的方法,其特征在于,在所述将逻辑防火墙架设于服务端的应用服务器之前的同时,还包括:
通过所述应用具有的程序接口API说明书和/或、应用操作手册,确定所述业务的流程的按预设顺序组成的各预设操作步骤;或
通过查看所述业务的操作日志,根据所述业务的操作日志中的业务的流程中的步骤顺序及步骤请求的上行数据、下行数据、上行数据内的上行参数以及请求的逻辑顺序,确定所述业务的流程中的按预设顺序组成的各预设操作步骤。
6.一种保障互联网应用安全的装置,其特征在于,所述保障互联网应用安全的装置包括逻辑防火墙,将所述逻辑防火墙架设于服务端的应用服务器之前,所述逻辑防火墙包括:
数据获取单元,用于针对每个应用,获取用户请求应用时发送的当前实际操作步骤对应的上行数据;
数据解析单元,用于根据请求应用的上行数据解析出请求路径、上行参数并保存;
流程识别单元,用于根据请求路径、上行参数识别用户在应用所请求的业务;获取所述业务的流程中按预设顺序组成的各预设操作步骤,根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤;其中,所述业务是由各操作步骤相应的微服务组成;
流程检查单元,用于获取用户发送的关于所述业务的有效实际操作步骤,获取所述业务按预设顺序组成的预设操作步骤,将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对,验证在当前实际操作步骤对应的预设操作步骤之前,是否缺少与预设操作步骤对应的实际操作步骤,以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致;其中,每个所述实际操作步骤包括用户发送的上行数据;
若在当前实际操作步骤对应的预设操作步骤之前,缺少与预设操作步骤对应的实际操作步骤,和/或,该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致,则停止将当前实际操作步骤对应的上行数据转发给应用服务器,并返回错误提示;
若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致,将当前实际操作步骤对应的上行数据转发给应用服务器。
7.根据权利要求6所述的保障互联网应用安全的装置,其特征在于,还包括步骤数据检查单元,所述步骤数据检查单元,具体用于:
在所述若在当前实际操作步骤对应的预设操作步骤之前,不缺少与预设操作步骤对应的实际操作步骤,且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后,针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,当确定设置对当前实际操作步骤的上行数据的特定字段进行验证时,则根据预设的验证方式对当前实际操作步骤的上行数据进行验证;所述对特定字段的验证包括字段类型、字段范围、字段的数据格式、字段是否缺失,且字段类型包括脱敏字段;其中,所述针对用户发送的关于所述业务的当前实际操作步骤的上行数据,确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证,具体包括:采用当前实际操作步骤之前实际操作步骤的上行数据和/或、下行数据,与当前实际操作步骤的上行数据和/或、下行数据之间的所定义的逻辑来验证当前实际操作步骤的上行数据;
在当前实际操作步骤对应的上行数据通过验证后,将当前实际操作步骤对应的上行数据转发给应用服务器;否则,停止将当前实际操作步骤对应的上行数据转发给应用服务器。
8.根据权利要求6所述的保障互联网应用安全的装置,其特征在于,还包括数据转发单元、内存数据库,其中:
所述数据解析单元,还用于根据用户请求应用发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识,以及获取应用服务器根据所述上行数据返回的下行数据,对所述下行数据进行解析确定用户唯一标识;将包含所述用户唯一标识相同的上行数据、下行数据认定为同一用户的上行数据、下行数据;其中,每个所述实际操作步骤还包括根据所述上行数据返回给用户的下行数据;
所述内存数据库,用于将所述业务的上行数据、下行数据解析后按照各自生成时间的顺序保存,设置该用户关于该请求所述业务的上行数据、下行数据的生命周期;
所述数据转发单元,用于在当前实际操作步骤对应的上行数据通过验证后,将应用服务器根据所述上行数据返回的下行数据进行返回。
9.根据权利要求8所述的保障互联网应用安全的装置,其特征在于,所述内存数据库包括第一清理子单元、第二清理子单元,其中:
所述流程识别单元,还用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,若所述上行数据在所述业务的流程中对应的预设操作步骤为非防护流程中的步骤,则将当前实际操作步骤对应的上行数据转发给应用服务器;
所述第一清理子单元,用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,若所述上行数据在所述业务的流程中对应的预设操作步骤为是所述业务的开始步骤,则清除所述用户关于所述业务在最近第一预设时间内的所有上行数据、下行数据,并自所述开始步骤,重新开始保存实际操作步骤对应的上行数据、下行数据;
所述第二清理子单元,用于在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后,判断当前实际操作步骤是否在流程过期时间内是否完成,若当前实际操作步骤在流程过期时间内未完成,则清除所述用户关于所述业务的所有上行数据、下行数据,重新开始保存所述业务的上行数据、下行数据。
10.根据权利要求6所述的保障互联网应用安全的装置,其特征在于,还包括:
业务操作流程获取单元,用于在所述将逻辑防火墙架设于服务端的应用服务器之前的同时,通过应用具有的程序接口API说明书和/或、应用操作手册,确定所述业务的流程的按预设顺序组成的各预设操作步骤;或
通过查看所述业务的操作日志,根据所述业务的操作日志中的业务的流程步骤顺序及步骤请求的上行数据、下行数据、上行数据内的上行参数以及请求的逻辑顺序,确定所述业务的流程中的预设顺序组成的各预设操作步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211129106.2A CN115514548B (zh) | 2022-09-16 | 2022-09-16 | 一种保障互联网应用安全的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211129106.2A CN115514548B (zh) | 2022-09-16 | 2022-09-16 | 一种保障互联网应用安全的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115514548A true CN115514548A (zh) | 2022-12-23 |
| CN115514548B CN115514548B (zh) | 2023-06-09 |
Family
ID=84504923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211129106.2A Active CN115514548B (zh) | 2022-09-16 | 2022-09-16 | 一种保障互联网应用安全的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115514548B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102272767A (zh) * | 2009-01-06 | 2011-12-07 | 高通股份有限公司 | 电子设备上基于位置的***准许和调整 |
| CN103761595A (zh) * | 2013-10-21 | 2014-04-30 | 远光软件股份有限公司 | 一种erp***的业务流程监控方法及装置 |
| CN104392297A (zh) * | 2014-10-27 | 2015-03-04 | 普元信息技术股份有限公司 | 大数据环境下实现非业务流程违规行为检测的方法及*** |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
| CN110933081A (zh) * | 2019-11-29 | 2020-03-27 | 交通银行股份有限公司 | 一种服务端对客户端请求合法性的判定实现方法 |
| CN110933069A (zh) * | 2019-11-27 | 2020-03-27 | 上海明耿网络科技有限公司 | 网络防护的方法、装置以及存储介质 |
| WO2021046811A1 (zh) * | 2019-09-12 | 2021-03-18 | 奇安信安全技术(珠海)有限公司 | 一种攻击行为的判定方法、装置及计算机存储介质 |
-
2022
- 2022-09-16 CN CN202211129106.2A patent/CN115514548B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102272767A (zh) * | 2009-01-06 | 2011-12-07 | 高通股份有限公司 | 电子设备上基于位置的***准许和调整 |
| CN103761595A (zh) * | 2013-10-21 | 2014-04-30 | 远光软件股份有限公司 | 一种erp***的业务流程监控方法及装置 |
| CN104392297A (zh) * | 2014-10-27 | 2015-03-04 | 普元信息技术股份有限公司 | 大数据环境下实现非业务流程违规行为检测的方法及*** |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
| WO2021046811A1 (zh) * | 2019-09-12 | 2021-03-18 | 奇安信安全技术(珠海)有限公司 | 一种攻击行为的判定方法、装置及计算机存储介质 |
| CN110933069A (zh) * | 2019-11-27 | 2020-03-27 | 上海明耿网络科技有限公司 | 网络防护的方法、装置以及存储介质 |
| CN110933081A (zh) * | 2019-11-29 | 2020-03-27 | 交通银行股份有限公司 | 一种服务端对客户端请求合法性的判定实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115514548B (zh) | 2023-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7975288B2 (en) | Method and apparatus for imposing quorum-based access control in a computer system | |
| US10462148B2 (en) | Dynamic data masking for mainframe application | |
| US8880435B1 (en) | Detection and tracking of unauthorized computer access attempts | |
| JP4778899B2 (ja) | リスクベース認証のためのシステムおよび方法 | |
| US20050278542A1 (en) | Network security and fraud detection system and method | |
| US20220191202A1 (en) | Consent-based authorization system | |
| CN111814152A (zh) | 一种安全评估方法、装置、电子设备及介质 | |
| CN113315637A (zh) | 安全认证方法、装置及存储介质 | |
| US7930727B1 (en) | System and method for measuring and enforcing security policy compliance for software during the development process of the software | |
| CN109672695A (zh) | 一种双因子身份认证方法及装置 | |
| CN111625803A (zh) | 用于电信业务防越权访问的端到端验证方法及*** | |
| Shahriar et al. | OCL fault injection-based detection of LDAP query injection vulnerabilities | |
| JP6919475B2 (ja) | 検知プログラム、装置、及び方法 | |
| CN115514548B (zh) | 一种保障互联网应用安全的方法及装置 | |
| US20220417242A1 (en) | Consent-based authorization system for taxation and consumer services | |
| CN111783047A (zh) | Rpa自动化安全防护方法及装置 | |
| Kiš et al. | A cybersecurity case for the adoption of blockchain in the financial industry | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| CN111898886B (zh) | 一种集体资产清产核资*** | |
| US20090165108A1 (en) | Method for verifying server end apparatus | |
| JP2001175600A (ja) | 不正アクセス通知方法及びその装置 | |
| Aich | Secure query processing by blocking sql injection | |
| CN110602115B (zh) | 一种基于微服务的安全决策方法及*** | |
| CN112968912B (zh) | 长链路互联网业务多模式安全验证码方法 | |
| Narang et al. | Severity measure of issues creating vulnerabilities in websites using two way assessment technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |