一种控制web系统越权访问的方法和装置制造方法及图纸

本发明专利技术实施例涉及网络安全技术领域，尤其涉及一种控制web系统越权访问的方法及装置，包括：代理服务器接收服务器发送的第一响应消息；所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。可以看出，在有代理服务器的应用场景下，若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数，则代理服务器对服务器返回的响应消息中的参数进行加密处理，从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性，因此，能够从根源上彻底杜绝web应用越权漏洞的发生。

A method and device for controlling the override access of the web system

The embodiment of the invention relates to the technical field of network security, in particular to a method for controlling web system and unauthorized access device, comprising: a first proxy server receives a response message sent by the server; the monitoring parameters, the proxy server to determine the first response message carrying the first parameter is the default configuration in the rule library if. The first response message is encrypted, and the encrypted first response messages to the client. We can see that in the application scenario of the proxy server, if the monitoring parameters carry parameters response message sent by the server to preset configuration rules in the response message to the proxy server parameters returned by the server is encrypted, so that the parameters of the client access request is not speculation, not to be ergodic, therefore, to fundamentally eradicate web application vulnerabilities ultra vires.

【技术实现步骤摘要】
一种控制web系统越权访问的方法和装置
本专利技术实施例涉及网络安全
，尤其涉及一种控制web系统越权访问的方法和装置。
技术介绍
越权漏洞是web应用程序中一种常见的安全漏洞，攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。例如当网站的订单信息、用户收货信息等功能存在越权漏洞时，攻击者通过一个普通账户轻易获得该网站所有用户的订单信息、收货信息等，上述信息一旦流落到黑产或电信诈骗行业，将降低网站安全信誉度、并可能给最终用户造成经济损失；如果在支付环节如存在越权漏洞，未严格校验用户权限使得用户可以滥用其他用户的余额或积分等，造成用户资金损失。现有技术中，关于防御web应用越权漏洞的解决方案是，用户登录网站后，访问具体功能时，后端系统会根据当前用户是否具有相关权限，将根据判断结果展示相关页面或者反馈无操作权限。该方案存在比较大的缺陷是，网站系统功能较多时，应用开发人员进行权限校验会存在遗漏，从而导致WEB应用系统的功能存在越权情况，不能从根本上解决web应用越权漏洞的问题。
技术实现思路
本专利技术实施例提供一种控制web系统越权访问的方法和装置，通过使得本文档来自技高网...

【技术保护点】
一种控制web系统越权访问的方法，其特征在于，包括：代理服务器接收服务器发送的第一响应消息，所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的；所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。

【技术特征摘要】
1.一种控制web系统越权访问的方法，其特征在于，包括：代理服务器接收服务器发送的第一响应消息，所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的；所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。2.如权利要求1所述的方法，其特征在于，在将加密后的第一响应消息发送给所述客户端之后，还包括：所述代理服务器接收所述客户端发送的第二页面访问请求消息，判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数，若是，则对所述第二页面访问请求消息进行解密处理，并将解密后的第二页面访问请求消息发送给所述服务器，以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息，其中，所述第二页面访问请求消息是基于所述第一响应消息所生成的。3.如权利要求2所述的方法，其特征在于，所述对所述第一响应消息加密处理，包括：对所述第一响应消息中的参数进行加密处理；所述对所述第二页面访问请求消息进行解密处理，包括：对所述第二页面访问请求中的参数进行解密处理。4.一种控制web系统越权访问的方法，其特征在于，包括：服务器接收到客户端发送的业务创建消息，所述业务创建消息用于在所述服务器中为所述客户端创建新业务；所述服务器根据所述业务创建消息，生成参数信息；所述服务器对所述参数信息进行变形处理，并将变形后的参数信息存储至所述服务器中，以便接收到所述客户端发送的业务访问请求消息时，将变形后的参数信息发送给所述客户端。5.如权利要求4所述的方法，其特征在于，所述将所述参数信息进行变形，并将变形后的参数信息存储至所述服务器中，包括：将所述参数信息进行哈希运算，并将经过哈希运算后的参数信息存储至所述服务器的数据库中；或者，将所述参数信息进行修改，并将修改后的参数信息存储至所述服务器的数据库中。6.一种控制web系统越权访问的装置，其特征在于，包括：第一接收模块，用于接收服务器发送的第一响应消息，所述第一响应消息是所述服务器通过所...

【专利技术属性】
技术研发人员：丁玲明，周恒磊，邓乐，孙会林，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海,31