一種基于智能表單分析的web防火墻實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)��,具體涉及WEB防火墻技術(shù)��。
【背景技術(shù)】
[0002]對(duì)外提供服務(wù)的WEB服務(wù)��,一般存在大量的表單,需要由用戶提交數(shù)據(jù)到服務(wù)器進(jìn)行驗(yàn)證處理�����。如果WEB服務(wù)對(duì)提交的數(shù)據(jù)驗(yàn)證不嚴(yán)格�����,則會(huì)留下潛在的漏洞����,外部人員可以構(gòu)造表單數(shù)據(jù)對(duì)服務(wù)進(jìn)行攻擊���。
[0003]由此可見如何有效驗(yàn)證用戶提交的數(shù)據(jù)����,避免外部人員構(gòu)造表單數(shù)據(jù)對(duì)服務(wù)進(jìn)行攻擊的問題��,是本領(lǐng)域亟需要解決的問題���。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有WEB服務(wù)容易被外部人員構(gòu)造的表單數(shù)據(jù)進(jìn)行攻擊的問題��,本發(fā)明的目的在于提供一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法�����,以避免WEB服務(wù)被外部構(gòu)造的表單數(shù)據(jù)攻擊�����,提高WEB服務(wù)的安全性�。
[0005]為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案:
[0006]一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法��,所述方法利用代理技術(shù)�,對(duì)WEB服務(wù)進(jìn)行代理,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁面內(nèi)容�����,通過動(dòng)態(tài)分析返回頁面中的form表單����,并形成白名單;并在接收瀏覽器發(fā)送的表單數(shù)據(jù)時(shí)�����,基于白名單進(jìn)行檢查��,避免攻擊者提交額外的表單數(shù)據(jù)。
[0007]在本方法的優(yōu)選方案中����,所述代理服務(wù)在分析返回頁面中的form表單,并形成白名單時(shí)�,記錄WEB服務(wù)地址、包含表單的頁面url���、表單名稱、表單input項(xiàng)����,并形成逐層的映身寸關(guān)系。
[0008]進(jìn)一步的����,所述代理服務(wù)在基于白名單對(duì)瀏覽器發(fā)送的表單數(shù)據(jù)進(jìn)行匹配檢查時(shí),首先在白名單中查找對(duì)應(yīng)WEB服務(wù)地址�����,接著匹配頁面url和表單名稱�����,最后依次去匹配各個(gè)表單提交項(xiàng),如果有不匹配的項(xiàng)則返回錯(cuò)誤信息����。
[0009]本發(fā)明利用代理技術(shù),當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁面內(nèi)容��,通過動(dòng)態(tài)分析頁面中是否包含表單����,表單中包含哪些項(xiàng),來生成白名單��;當(dāng)瀏覽器提交表單數(shù)據(jù)時(shí)����,根據(jù)這個(gè)白名單來驗(yàn)證本次提交是否有效,由此可以有效地提高WEB防護(hù)的能力���。本發(fā)明方案在具體實(shí)施時(shí)��,具有以下優(yōu)點(diǎn):
[0010]a)對(duì)WEB應(yīng)用透明���;
[0011]b)可以擴(kuò)展為更復(fù)雜的表單檢查實(shí)現(xiàn)。
【附圖說明】
[0012]以下結(jié)合附圖和【具體實(shí)施方式】來進(jìn)一步說明本發(fā)明。
[0013]圖1為本方明實(shí)施的流程圖��。
【具體實(shí)施方式】
[0014]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段�����、創(chuàng)作特征��、達(dá)成目的與功效易于明白了解�,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明��。
[0015]本發(fā)明提供的方法是利用代理技術(shù)����,對(duì)WEB服務(wù)進(jìn)行代理�����,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁面內(nèi)容�����,動(dòng)態(tài)分析返回頁面的form表項(xiàng)���,并記錄相關(guān)的數(shù)據(jù)形成白名單�,并以此白名單來對(duì)瀏覽器發(fā)送的表單數(shù)據(jù)進(jìn)行檢查,從而避免攻擊者提交額外的表單數(shù)據(jù)對(duì)WEB服務(wù)形成攻擊����。
[0016]WEB防火墻使用七層代理技術(shù),即分析HTTP協(xié)議����,并對(duì)內(nèi)容進(jìn)行處理。
[0017]基于七層代理技術(shù)�,可利用WEB防火墻對(duì)WEB服務(wù)返回的頁面的form表項(xiàng)進(jìn)行動(dòng)態(tài)分析,且據(jù)此形成白名單和對(duì)瀏覽器發(fā)送的表單數(shù)據(jù)進(jìn)行檢查���,從而提高WEB防護(hù)的能力�����。
[0018]其具體的實(shí)現(xiàn)方案如下:
[0019](I)WEB防火墻檢測(cè)到WEB服務(wù)器返回的頁面�����。
[0020](2) WEB防火墻動(dòng)態(tài)分析WEB服務(wù)器返回的頁面的form表項(xiàng)�,并根據(jù)頁面中的表單生成白名單�����,同時(shí)記錄表單對(duì)應(yīng)的WEB服務(wù)地址、包含表單的頁面url����、表單名稱、表單input項(xiàng)��,并形成逐層的映射關(guān)系�����。通過記錄這樣的驗(yàn)證數(shù)據(jù)能夠保證后續(xù)利用白名單進(jìn)行驗(yàn)證的正確性����。
[0021](3) WEB防火墻將WEB服務(wù)器返回的頁面提交給瀏覽器。
[0022](4)瀏覽器中填寫表單內(nèi)容����,并提交至WEB防火墻����。
[0023](5)WEB防火墻收到瀏覽器提交的表單數(shù)據(jù)后,根據(jù)瀏覽器提交的表單數(shù)據(jù)在步驟
(2)中形成的白名單中查找對(duì)應(yīng)WEB服務(wù)地址����,以找到對(duì)應(yīng)的應(yīng)用服務(wù)器�;接著�,匹配頁面url和表單名稱;在匹配通過后��,再依次去匹配各個(gè)表單提交項(xiàng)�����;如匹配��,則提交該表單數(shù)據(jù)到WEB服務(wù)器���;如果有不匹配的項(xiàng)��,則進(jìn)行攔截返回錯(cuò)誤信息����。
[0024]參見圖1���,其所示為基于方案進(jìn)行智能表單分析的實(shí)施流程圖���。整個(gè)實(shí)施過程如下:
[0025](I) IE瀏覽器向WEB服務(wù)器發(fā)起獲取頁面請(qǐng)求(即HTTP訪問請(qǐng)求)���。
[0026](2 ) WEB防火墻轉(zhuǎn)發(fā)請(qǐng)求到WEB服務(wù)器。
[0027](3) WEB服務(wù)器處理請(qǐng)求��,返回帶表單的響應(yīng)頁面到WEB防火墻���。
[0028](4)WEB防火墻收到WEB服務(wù)器返回的頁面��,動(dòng)態(tài)分析返回頁面的form表項(xiàng)���,并根據(jù)表單input項(xiàng)生成白名單。
[0029](5) WEB防火墻返回頁面到IE瀏覽器���。
[0030](6) IE瀏覽器收到響應(yīng)頁面�����。
[0031 ] (7)用戶填寫表單內(nèi)容��,并提交表單數(shù)據(jù)至WEB防火墻。
[0032](S)WEB防火墻根據(jù)步驟(4)中生成的白名單來驗(yàn)證IE瀏覽器提交的表單數(shù)據(jù)的有效性��,如果驗(yàn)證通過��,則轉(zhuǎn)發(fā)到WEB服務(wù)器,否則返回失敗��。
[0033]由上可知���,通過對(duì)WEB服務(wù)器返回頁面表單的動(dòng)態(tài)分析���,并形成用于檢查瀏覽器返回表單數(shù)據(jù)的白名單,能夠有效攔截攻擊者提交的額外表單數(shù)據(jù)���,從而提高WEB服務(wù)器的防護(hù)能力��。
[0034]以上顯示和描述了本發(fā)明的基本原理����、主要特征和本發(fā)明的優(yōu)點(diǎn)�。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制����,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下����,本發(fā)明還會(huì)有各種變化和改進(jìn)���,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定���。
【主權(quán)項(xiàng)】
1.一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法���,其特征在于,所述方法利用代理技術(shù)�,對(duì)WEB服務(wù)進(jìn)行代理,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁面內(nèi)容�����,通過動(dòng)態(tài)分析返回頁面中的form表單��,并形成白名單����;并在接收瀏覽器發(fā)送的表單數(shù)據(jù)時(shí),基于白名單進(jìn)行檢查���,避免攻擊者提交額外的表單數(shù)據(jù)���。
2.根據(jù)權(quán)利要求1所述的一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法,其特征在于���,所述代理服務(wù)在分析返回頁面中的form表單����,并形成白名單時(shí)�,記錄WEB服務(wù)地址、包含表單的頁面url����、表單名稱、表單input項(xiàng)����,并形成逐層的映射關(guān)系。
3.根據(jù)權(quán)利要求1所述的一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法���,其特征在于��,所述代理服務(wù)在基于白名單對(duì)瀏覽器發(fā)送的表單數(shù)據(jù)進(jìn)行匹配檢查時(shí)��,首先在白名單中查找對(duì)應(yīng)WEB服務(wù)地址����,接著匹配頁面url和表單名稱,最后依次去匹配各個(gè)表單提交項(xiàng)��,如果有不匹配的項(xiàng)則返回錯(cuò)誤信息����。
【專利摘要】本發(fā)明公開了一種基于智能表單分析的WEB防火墻實(shí)現(xiàn)方法,其利用代理技術(shù)���,對(duì)WEB服務(wù)進(jìn)行代理����,當(dāng)代理服務(wù)收到WEB服務(wù)返回的頁面內(nèi)容�,通過動(dòng)態(tài)分析返回頁面中的form表單,并形成白名單���;并在接收瀏覽器發(fā)送的表單數(shù)據(jù)時(shí)����,基于白名單進(jìn)行檢查����,避免攻擊者提交額外的表單數(shù)據(jù)。該方法可以避免WEB服務(wù)被外部構(gòu)造的表單數(shù)據(jù)攻擊,提高WEB服務(wù)的安全性��。
【IPC分類】H04L29-08, H04L29-06
【公開號(hào)】CN104753901
【申請(qǐng)?zhí)枴緾N201310753780
【發(fā)明人】吳勇克, 掌曉愚, 任偉
【申請(qǐng)人】上海格爾軟件股份有限公司
【公開日】2015年7月1日
【申請(qǐng)日】2013年12月31日