技術(shù)總結(jié)
本發(fā)明公開了一種基于XSS和CSRF的Web攻擊防御系統(tǒng)及其方法��,涉及網(wǎng)絡(luò)安全領(lǐng)域����。本系統(tǒng)包括過濾模塊,白名單模塊和令牌攔截模塊����。本方法是:①過濾模塊采用驗(yàn)證用戶輸入合法性,特殊字符處理����,cookie防盜以及遞歸凈化敏感詞匯四種方式過濾用戶輸入;②白名單模塊針對(duì)HTML腳本注入���,使用HTML解析庫遍歷所有的節(jié)點(diǎn),獲取其中數(shù)據(jù)的原有標(biāo)簽屬性�����,通過白名單模塊中的標(biāo)簽重新構(gòu)建HTML元素樹�,從根本上防范HTML腳本注入攻擊����;③令牌攔截模塊通過Token驗(yàn)證功能對(duì)不符合要求的HTTP請(qǐng)求進(jìn)行攔截��。本發(fā)明具有精確度高�,誤報(bào)率低,可擴(kuò)展性的特點(diǎn)���。
技術(shù)研發(fā)人員:匡紅;保永武;葉猛
受保護(hù)的技術(shù)使用者:武漢虹旭信息技術(shù)有限責(zé)任公司
文檔號(hào)碼:201611143663
技術(shù)研發(fā)日:2016.12.13
技術(shù)公布日:2017.05.31