【技术实现步骤摘要】
一种客户端请求处理方法、装置、设备及可读存储介质
本专利技术涉及网络安全
,特别涉及一种客户端请求处理方法、装置、设备及计算机可读存储介质。
技术介绍
目前,很多web应用服务器都提供了从其他的服务器上获取数据的功能。比如,用户输入一个URL,web应用服务器可以根据该URL获取图片,下载文件,读取文件内容等。但是,这个功能如果被恶意使用,攻击者可以利用存在漏洞的web应用服务器作为代理,攻击远程或者本地的服务器。这种形式的攻击称为服务端请求伪造(Server-sideRequestForgery,SSRF)攻击。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。当web应用服务器提供的这些功能未对提交的URL参数值做严格的限制,如请求协议限制、内外访问限制等,攻击者很可能会利用web应用服务器的这种缺陷,突破外网无法访问内网的限制,探测内网架构、进而攻击内网中的脆弱系统等。现有技术中,通过设立黑名单可以防御部分SSRF攻击,但是黑名单存在大量已知和未知的被绕过方法,无法完全防御SSRF攻击。因此,如何解决无法完全防御SSRF攻击的问题,是本领域技术...
【技术保护点】
1.一种客户端请求处理方法,其特征在于,包括:获取客户端请求;所述客户端请求包括目标参数和验证参数;将所述目标参数和预设密钥进行拼接加密,得到安全参数;判断所述安全参数与所述验证参数是否一致;若是,则执行所述客户端请求;若否,则确定出现SSRF攻击,不执行所述客户端请求。
【技术特征摘要】
1.一种客户端请求处理方法,其特征在于,包括:获取客户端请求;所述客户端请求包括目标参数和验证参数;将所述目标参数和预设密钥进行拼接加密,得到安全参数;判断所述安全参数与所述验证参数是否一致;若是,则执行所述客户端请求;若否,则确定出现SSRF攻击,不执行所述客户端请求。2.根据权利要求1所述的客户端请求处理方法,其特征在于,将所述目标参数和预设密钥进行拼接加密,得到安全参数,包括:对所述目标参数进行UrlEncode编码,得到编码参数;将所述预设密钥和所述编码参数按照预设拼接规则进行拼接,得到拼接参数;对所述拼接参数进行编码加密处理,得到所述安全参数。3.根据权利要求2所述的客户端请求处理方法,其特征在于,对所述拼接参数进行编码加密处理,得到所述安全参数,包括:对所述拼接参数进行编码处理,得到编码字符串;对所述编码字符串进行不可逆加密处理,得到所述安全参数。4.根据权利要求1所述的客户端请求处理方法,其特征在于,在获取所述客户端请求中的目标参数和验证参数之后,在利用所述目标参数和预设密钥进行计算之前,还包括:判断所述验证参数是否为空参数;若否,则执行利用所述目标参数和预设密钥进行计算,得到安全参数的步骤;若是,则确定出现SSRF攻击,不执行所述客户端请求。5.一种客户端请求处理装置,其特征在于,包括:参数获取模块,用于获取客户端请求;所述客户端请求包括目标参数和验证参数;拼接加密模块,用于将所述目标参数和预设密钥进行拼接加密,得到安全参数;判断模块,用于判断所述安全参数与所述验证参数是否一致;执行模块...
【专利技术属性】
技术研发人员:王晓天,范渊,黄进,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。