一種主動(dòng)防御的web防火墻實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)��,具體涉及WEB防火墻技術(shù)���。
【背景技術(shù)】
[0002]對(duì)外提供服務(wù)的WEB服務(wù)��,一般存在大量的表單���,需要由用戶提交數(shù)據(jù)到服務(wù)器進(jìn)行驗(yàn)證處理。如果WEB服務(wù)對(duì)提交的數(shù)據(jù)驗(yàn)證不嚴(yán)格��,則會(huì)留下潛在的漏洞��,外部人員可以構(gòu)造表單數(shù)據(jù)對(duì)服務(wù)進(jìn)行攻擊���,如SQL注入或XSS攻擊�����。
[0003]常見(jiàn)的WEB防火墻是通過(guò)檢測(cè)瀏覽器(客戶端)提交的請(qǐng)求是否包含某些攻擊的特征-比如超大字段,SQL注入���,XSS腳本等�,這樣的實(shí)現(xiàn)比較被動(dòng)。尤其對(duì)于一些固有缺陷的應(yīng)用����,這類(lèi)防護(hù)的作用有限。
[0004]由此可見(jiàn)提高WEB防火墻的防護(hù)能力是本領(lǐng)域亟需解決的技術(shù)問(wèn)題����。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有WEB防火墻防護(hù)能力有限,而無(wú)法有效防護(hù)一些固有缺陷應(yīng)用的問(wèn)題�,本發(fā)明的目的在于提供提一種采用主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法,以此有效地增加攻擊者的入侵難度��,提高WEB防護(hù)的能力����。
[0006]為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案:
[0007]—種主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法�����,該方法利用代理技術(shù)�����,對(duì)WEB服務(wù)進(jìn)行代理��,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁(yè)面內(nèi)容,主動(dòng)修改返回的頁(yè)面內(nèi)容�,對(duì)原頁(yè)面進(jìn)行安全加固。
[0008]在本方案的優(yōu)選實(shí)例中�����,所述方法中通過(guò)透明代理對(duì)WEB服務(wù)進(jìn)行代理�����。
[0009]進(jìn)一步的�,所述方法中利用WEB防火墻對(duì)WEB服務(wù)返回頁(yè)面內(nèi)容檢查是否需要進(jìn)行安全加固;再者�,WEB防火墻改造WEB服務(wù)返回頁(yè)面,構(gòu)造防護(hù)腳本嵌入到原始頁(yè)面中���。
[0010]本發(fā)明利用代理技術(shù)��,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁(yè)面內(nèi)容����,通過(guò)主動(dòng)修改頁(yè)面內(nèi)容����,或嵌入防護(hù)腳本的方式對(duì)提交數(shù)據(jù)進(jìn)行處理,從而達(dá)到主動(dòng)防御的效果�����。相對(duì)于現(xiàn)有技術(shù)具有如下優(yōu)點(diǎn):
[0011]1���、對(duì)WEB應(yīng)用透明���;
[0012]2、可以針對(duì)應(yīng)用特點(diǎn)進(jìn)行個(gè)人化設(shè)計(jì)���;
[0013]3�����、有效地增加攻擊者的入侵難度��,提高WEB防護(hù)的能力���。
【附圖說(shuō)明】
[0014]以下結(jié)合附圖和【具體實(shí)施方式】來(lái)進(jìn)一步說(shuō)明本發(fā)明。
[0015]圖1為利用本發(fā)明加強(qiáng)頁(yè)面的流程圖����。
【具體實(shí)施方式】
[0016]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段�、創(chuàng)作特征���、達(dá)成目的與功效易于明白了解����,下面結(jié)合具體圖示����,進(jìn)一步闡述本發(fā)明。
[0017]本發(fā)明提供的方法是利用代理技術(shù)�����,對(duì)WEB服務(wù)進(jìn)行代理��,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁(yè)面內(nèi)容�,主動(dòng)修改返回的頁(yè)面內(nèi)容,由此實(shí)現(xiàn)對(duì)原頁(yè)面進(jìn)行安全加固��。
[0018]WEB防火墻使用七層代理技術(shù)�����,即分析HTTP協(xié)議�����,并對(duì)內(nèi)容進(jìn)行處理�����。
[0019]基于七層代理技術(shù)����,可利用WEB防火墻主動(dòng)修改WEB服務(wù)返回的頁(yè)面內(nèi)容,對(duì)原HTML頁(yè)面進(jìn)行安全加固����。其具體的實(shí)現(xiàn)方案如下:
[0020]( DffEB防火墻檢測(cè)到WEB服務(wù)返回的頁(yè)面;
[0021](2) WEB防火墻收到WEB服務(wù)返回的頁(yè)面內(nèi)容����,首先WEB防火墻根據(jù)自身的配置,對(duì)返回頁(yè)面內(nèi)容進(jìn)行內(nèi)容檢查���,查看是否有表單需要加固�����,比如是否存在明文的密碼提交�,是否缺少對(duì)輸入項(xiàng)的格式檢查;
[0022](3)如果有表單需要加固,WEB防火墻就根據(jù)自身配置,生成合適的JavaScript防護(hù)腳本���,動(dòng)態(tài)修改頁(yè)面內(nèi)容并嵌入防護(hù)腳本(如JavaScript腳本)到頁(yè)面中���;
[0023](4) WEB防火墻返回修改過(guò)的頁(yè)面到瀏覽器客戶端;
[0024](5)用戶在瀏覽器中正常填寫(xiě)表單內(nèi)容并提交��,此時(shí)通過(guò)被修改后的頁(yè)面內(nèi)容�,或觸發(fā)防護(hù)腳本對(duì)輸入項(xiàng)進(jìn)行檢查/加密;
[0025](6)防護(hù)腳本處理完畢后��,則按原有流程提交到WEB防火墻�����,轉(zhuǎn)發(fā)到WEB服務(wù)器��,檢查失敗則在客戶端進(jìn)行攔截�。
[0026]參見(jiàn)圖1,其所示為基于方案進(jìn)行頁(yè)面加強(qiáng)實(shí)現(xiàn)主動(dòng)防御的流程圖����。整個(gè)實(shí)施過(guò)程如下:
[0027](I) IE瀏覽器向WEB服務(wù)器發(fā)起獲取頁(yè)面請(qǐng)求(即HTTP訪問(wèn)請(qǐng)求)。
[0028]⑵WEB防火墻轉(zhuǎn)發(fā)請(qǐng)求到WEB服務(wù)器。
[0029](3) WEB服務(wù)器處理請(qǐng)求�,返回帶表單的響應(yīng)頁(yè)面到WEB防火墻。
[0030](4) WEB防火墻收到WEB服務(wù)器返回的頁(yè)面���,并根據(jù)自身配置��,生成合適的JavaScript防護(hù)腳本,動(dòng)態(tài)修改頁(yè)面內(nèi)容并嵌入防護(hù)腳本到頁(yè)面中�����。
[0031](5) WEB防火墻返回修改后的頁(yè)面到IE瀏覽器��。
[0032](6) IE瀏覽器收到已修改后(已嵌入防護(hù)腳本)的頁(yè)面�����,填寫(xiě)表單并提交頁(yè)面�����。
[0033](7)觸發(fā)防護(hù)腳本���,對(duì)表單數(shù)據(jù)進(jìn)行檢查或數(shù)據(jù)加密����。
[0034](8)防護(hù)腳本處理完畢后,并提交至WEB防火墻���;如果防護(hù)腳本進(jìn)行了加密�,則WEB防火墻進(jìn)行解密�。
[0035](9) WEB防火墻將處理后的數(shù)據(jù)轉(zhuǎn)發(fā)至WEB服務(wù)器,WEB服務(wù)器處理表單業(yè)務(wù)����。
[0036]由上可知,其可實(shí)現(xiàn)WEB防火墻的主動(dòng)防御���,可以有效地增加攻擊者的入侵難度�,提高WEB防護(hù)的能力�。
[0037]以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點(diǎn)����。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制����,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會(huì)有各種變化和改進(jìn)����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定��。
【主權(quán)項(xiàng)】
1.一種主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法���,其特征在于��,所述方法利用代理技術(shù),對(duì)WEB服務(wù)進(jìn)行代理��,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁(yè)面內(nèi)容��,主動(dòng)修改返回的頁(yè)面內(nèi)容����,對(duì)原頁(yè)面進(jìn)行安全加固。
2.根據(jù)權(quán)利要求1所述的一種主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法����,其特征在于,所述方法中通過(guò)透明代理對(duì)WEB服務(wù)進(jìn)行代理����。
3.根據(jù)權(quán)利要求1或2所述的一種主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法�����,其特征在于�����,所述方法中利用WEB防火墻對(duì)WEB服務(wù)返回頁(yè)面內(nèi)容檢查是否需要進(jìn)行安全加固���;再者,WEB防火墻改造WEB服務(wù)返回頁(yè)面���,構(gòu)造防護(hù)腳本嵌入到原始頁(yè)面中�。
【專利摘要】本發(fā)明公開(kāi)了一種主動(dòng)防御的WEB防火墻實(shí)現(xiàn)方法�����,其利用代理技術(shù)��,對(duì)WEB服務(wù)進(jìn)行代理���,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁(yè)面內(nèi)容��,主動(dòng)修改返回的頁(yè)面內(nèi)容��,對(duì)原頁(yè)面進(jìn)行安全加固�����。本發(fā)明能夠有效地增加攻擊者的入侵難度����,提高WEB防護(hù)的能力。
【IPC分類(lèi)】H04L29-08, H04L29-06
【公開(kāi)號(hào)】CN104753880
【申請(qǐng)?zhí)枴緾N201310746608
【發(fā)明人】王彥杰, 掌曉愚, 任偉
【申請(qǐng)人】上海格爾軟件股份有限公司
【公開(kāi)日】2015年7月1日
【申請(qǐng)日】2013年12月30日