本申请提供了一种互联网接口的防护方法及装置,其中的方法包括:获取基于客户端发送的第一请求生成的第一响应页面;在所述第一响应页面中插入用于产生签名信息的预定组件;将插入所述预定组件的第一响应页面发送给客户端;接收客户端发送的第二请求;对所述第二请求进行签名信息的验证。通过该方法能够实现对Web接口的防护,使得Web漏洞扫描无法及时获取到签名信息或其无法伪装正确的签名信息,从而无法通过验证.保证了Web接口的安全。
【技术实现步骤摘要】
本申请涉及计算机领域,尤其涉及一种互联网接口的防护方法及装置。
技术介绍
目前,互联网(Web)接口攻击一般通过Web漏洞扫描器(appscan)及一些半自动化的工具(burpsuite)刺探来获取目标网站的漏洞信息,并针对漏洞信息进行攻击。现有的Web漏洞扫描常用的是网络爬虫功能和漏洞扫描功能。网络漏洞扫描主要是基于字符特征串来识别。例如,正常访问请求中的URL比如为http://www.taobao.com/test.php?Id=1,而web扫描器进行SQL注入扫描,即漏洞扫描时,会发出类似http://www.taobao.com/test.php?Id=1+and+1=1这样的请求。如果识别出请求中带有“and 1=1”之类的字符串,可以判定该请求的发出者正在进行SQL注入攻击,即漏洞扫描。网络爬虫功能一般是通过识别HTTP请求头中用户-代理(user-agent)字段来识别非法攻击,另外也可通过收集分析来自同一客户端的访问频率来识别非法攻击。用户-代理字段识别本质上仍然是特征字符串方式。访问频率判断识别方式可通过增加或者变化请求间的间隔,甚至使用多IP代理访问机制绕过WAF的识别。如上所述,无论是漏洞扫描功能还是网络爬虫功能,主要采取字符串识别方式,但Web漏洞扫描方只需构造出一个既能满足扫描要求又能躲避字符串识别的特殊字符串即可轻易的绕过这种字符串识别。例如:防护装置对于附加的请求字符串“and 1=1”能识别出它是漏洞扫描者发出来的,但对“and 6=(12/2)”就无法识别出它是漏洞扫描者发出来的,因此攻击者(Web漏洞扫描方)发出“and 6=(12/2)”就可以达到漏洞扫描而又避免防护的目的。
技术实现思路
本申请解决的技术问题之一是使Web漏洞扫描者不容易穿透Web接口的防护,提高检测到Web漏洞扫描的精确性。根据本申请的一个实施例,提供了一种互联网接口的防护方法,包括:获取基于客户端发送的第一请求生成的第一响应页面;在所述第一响应页面中插入用于产生签名信息的预定组件;将插入所述预定组件的第一响应页面发送给客户端;接收客户端发送的第二请求;对所述第二请求进行签名信息的验证。根据本申请的一个实施例,提供了一种互联网接口的防护装置,包括:获取单元,被配置为获取基于客户端发送的第一请求生成的第一响应页面;插入单元,被配置为在所述第一响应页面中插入用于产生签名信息的预定组件;发送单元,被配置为将插入所述预定组件的第一响应页面发送给客户端;接收单元,被配置为接收客户端发送的第二请求;验证单元,被配置为对所述第二请求进行签名信息的验证。由于本申请实施例通过在响应页面中插入预定组件,预定组件下载到客户端后在客户端侧产生签名信息,并加入到客户端发送的第二请求中,这样,通过对第二请求进行签名信息的验证,就验证了第二请求是来自一个正常访问网页的客户端,还是Web漏洞扫描者,从而使Web漏洞扫描者不容易穿透Web接口的防护,提高检测到Web漏洞扫描的精确性。本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1示出了根据本申请一个实施例的互联网接口的防护方法的流程图。图2示出了根据本申请一个具体实施例的互联网接口的防护方法的流程图。图3示出了根据本申请另一个具体实施例的互联网接口的防护方法的流程图。图4示出了根据本申请一个实施例的互联网接口的防护装置的框图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。在上下文中所称“计算机设备”,也称为“电脑”,是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现
有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于…之间”相比于“直接处于…之间”,“与…邻近”相比于“与…直接邻近”等等)。这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添本文档来自技高网...
【技术保护点】
一种互联网接口的防护方法,包括:获取基于客户端发送的第一请求生成的第一响应页面;在所述第一响应页面中插入用于产生签名信息的预定组件;将插入所述预定组件的第一响应页面发送给客户端;接收客户端发送的第二请求;对所述第二请求进行签名信息的验证。
【技术特征摘要】
1.一种互联网接口的防护方法,包括:获取基于客户端发送的第一请求生成的第一响应页面;在所述第一响应页面中插入用于产生签名信息的预定组件;将插入所述预定组件的第一响应页面发送给客户端;接收客户端发送的第二请求;对所述第二请求进行签名信息的验证。2.根据权利要求1所述的防护方法,其中,所述签名信息是在客户端接收到插入所述预定组件的第一响应页面并下载所述预定组件后,由所述预定组件产生并加入到第二请求中的。3.根据权利要求2所述的防护方法,其中,所述签名信息是由所述预定组件通过以下产生的:至少收集所述客户端的属性信息和/或客户端的光标信息,根据预定组件中包括的预定算法生成签名片段,将所述签名片段、客户端的属性信息和/或客户端的光标信息作为签名信息。4.根据权利要求3所述的防护方法,其中,所述对所述第二请求进行签名信息的验证的步骤包括:判断第二请求中是否包含签名信息,如不包含签名信息,则验证失败;通过预定算法还原签名信息中的签名片段,将从签名片段中还原出的客户端的属性信息和/或客户端的光标信息分别与签名信息中的客户端的属性信息和/或客户端的光标信息进行对比,如不匹配,则验证失败;判断从签名片段中还原出的客户端的属性信息和/或客户端的光标信息是否符合预定条件,如符合,则验证失败,如不符合,则验证成功。5.根据权利要求1-4任一项所述的防护方法,其中,每次需要在所述第一响应页面中插入用于产生签名信息的预定组件的情况下,动态生成
\t预定组件中包含的所述预定算法,并存储该预定算法。6.一种互联网接口的防护装置,包括:获取单元,被...
【专利技术属性】
技术研发人员:周大,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。