本发明专利技术实施例涉及IT应用技术领域,公开了一种Web应用安全保护方法、装置、电子设备及存储介质。该方法接收客户端发送的包含加密的URL的第一Web请求;对所述第一Web请求中加密的URL进行解密,得到解密的URL;生成包含解密的URL的第二Web请求;将所述第二Web请求发送给Web服务器。本发明专利技术能够基于Web应用防火墙,化被动防御为主动防御,从而提高Web应用资源的安全性,并降低了资源占用率以及时延。
Web application security protection methods, devices, electronic devices and storage media
【技术实现步骤摘要】
Web应用安全保护方法、装置、电子设备及存储介质
本专利技术实施例涉及IT应用
,特别涉及一种Web应用安全保护的方法、装置、电子设备及存储介质。
技术介绍
网站(Web)已经深入各行各业,成为流行的信息和业务平台,包括:电子政务、电子商务、网上银行、网上营业厅等。各类机构不断增加网站上的功能,尤其是增加互动功能,以提供更好的用户体验。网络业务的流行,使得75%以上的网络攻击都瞄准了Web,而随着Web应用类型的丰富,Web攻击也丰富起来。日益频繁和多样化的Web攻击使运营者意识到Web安全面临的巨大风险,网站自身及客户的数据泄露风险巨大,网站的声誉极易受损,网站可用性难以保障,业务中断带来的经济损失巨大。Web应用防火墙(WebApplicationFirewall,简称WAF)通过精细的配置将多种Web安全检测方法连接成一套完整的解决方案,能够对网站的HTTP请求进行检测,识别恶意请求。但是,专利技术人发现,市面上大部分WAF均基于静态规则对HTTP请求进行检测,规则的提炼基于对各类攻击语句进行提炼,构造正则匹配,或者识别请求中是否包含敏感文件、路径及命令等。基于规则的恶意HTTP请求识别对一些基础攻击请求能起到一定的识别作用,包括SQL注入、XSS注入、远程命令执行、文件包含等,但是规则也非常容易被绕过,不能覆盖住比较隐藏或者深度构造的恶意请求,同时规则数量的增加对系统性能影响非常大,但是随着攻击方式的逐日更新,必须定期更新规则,这样给性能带来很大的挑战。综上,传统的被动防护方法基于规则的恶意HTTP请求识别已经不能满足现阶段WAF的需求,我们需要更加主动的方法,对Web网站进行防护。目前,国内已有主动防御相关专利的发表,公开号CN104954384B。该专利专利技术公开了一种保护Web应用安全的URL拟态方法,该方法在网关中,对标识后台Web服务器资源的URL进行动态变化,使之对外表现变化后的URL,隐藏了真实的URL,并且可以配置每一个变化后的URL的有效访问次数。应用该方法可以使攻击者无法掌握Web应用服务器上的资源的真正入口,从而无法随意进行攻击尝试,进而保护Web应用的安全。但专利技术人发现,现有的URL拟态方法在网关上进行URL加密,会给网关造成比较大的计算压力,影响网关性能。现有的URL拟态方法,在收到返回包后,对返回包中的URL进行拟态保护,但是未拟态保护URL的请求,会直接通过网关,无法保护已经知道服务器路径的攻击者的情况。现有的URL拟态方法,为每一个加密后的URL限制了访问次数,若该链接进行分享,则一段时间超过访问次数后,该链接将不能打开。
技术实现思路
本专利技术实施方式的目的在于提供一种Web应用安全保护方法、电子设备、装置及计算机可读存储介质,能够基于Web应用防火墙,化被动防御为主动防御,从而提高Web应用资源的安全性,并降低了资源占用率以及时延。为解决上述技术问题,本专利技术的实施方式提供了一种Web应用安全保护方法,所述方法包括:接收客户端发送的包含加密的URL的第一Web请求;对所述第一Web请求中加密的URL进行解密,得到解密的URL;生成包含解密的URL的第二Web请求;将所述第二Web请求发送给Web服务器。优选地,在接收客户端发送的包含加密的URL的第一Web请求之前,所述方法还包括:检测所述客户端发送的Web请求中的URL是否加密;在检测到所述客户端发送的Web请求中的URL未加密时,将对URL进行加密的加密信息发送给所述客户端;在所述客户端对URL加密后,接收所述第一Web请求。优选地,所述加密信息包括包含URL加密算法的JS脚本及公钥。优选地,所述加密算法包括基于椭圆曲线的加密算法,其中所述加密的URL是基于所述公钥及所述客户端的请求时间确定的随机数生成的密文。优选地,所述对所述第一Web请求中加密的URL进行解密,得到解密的URL包括:利用所述基于椭圆曲线的加密算法的私钥及所述客户端的请求时间确定的随机数,对所述第一Web请求中加密的URL进行解密,得到解密的URL。优选地,所述方法还包括:接收所述Web服务器基于解密的URL发送的所述第二Web请求的响应信息。优选地,所述接收所述Web服务器基于解密的URL发送的所述第二Web请求的响应信息包括:在所述Web服务器根据解密的URL确定所述第二Web请求是正常请求时,接收所述Web服务器发送的所述第二Web请求对应的回复数据,并将所述回复数据发送给所述客户端;在所述Web服务器根据解密的URL确定所述第二Web请求是不正常请求时,接收所述Web服务器发送的错误信息,并将所述错误信息发送给所述客户端。为了解决上述问题,本专利技术还提供一种Web应用安全保护装置,其特征在于,所述装置包括:请求接收模块,用于接收客户端发送的包含加密的URL的第一Web请求;解密模块,用于对所述第一Web请求中加密的URL进行解密,得到解密的URL;生成模块,用于生成包含解密的URL第二Web请求;请求发送模块,用于将所述第二的Web请求发送给Web服务器。为了解决上述问题,本专利技术还提供一种电子设备,所述电子设备包括:存储器,存储至少一个指令;及处理器,执行所述存储器中存储的指令以实现上述所述的Web应用安全保护方法。为了解决上述问题,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的Web应用安全保护方法。本专利技术实施例在客户端发起加密的URL的Web请求时,所述Web请求先到达Web应用防火墙,,Web应用防火墙在对URL解密后,再将Web请求发送给Web服务器,在Web应用防火墙上只需要进行解密,不需要进行加密,降低了资源占用率以及时延。进一步地,本专利技术实施例中,Web应用防火墙要求客户端的Web请求中的URL必须是加密的,否则会返回加密信息,要求所述客户端对URL进行加密后再重新发送请求,从而有效的防护扫描器以及通用脚本攻击,提高Web应用资源的安全性。进一步地,本专利技术实施例利用基于椭圆曲线的加密算法对URL进行加密,其中加密公钥是基于所述客户端的请求时间确定的随机数配置的。这样由于请求时间的不同,同样的URL每次发起访问请求,加密后的URL都不一样,但是Web应用防火墙都能够将其正确的进行解密,从而更能提高Web应用的安全性。附图说明一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。图1是本专利技术Web应用安全保护方法的较佳实施例的应用环境示意图。图2为本专利技术实施例提供的Web应用安全保护方法的第一较佳实施例的流程示意图;图3为本专利技术实施例提供本文档来自技高网...
【技术保护点】
1.一种Web应用安全保护方法,其特征在于,所述方法应用于安装有Web应用防火墙的电子设备,所述方法包括:/n接收客户端发送的包含加密的URL的第一Web请求;/n对所述第一Web请求中加密的URL进行解密,得到解密的URL;/n生成包含解密的URL的第二Web请求;/n将所述第二Web请求发送给Web服务器。/n
【技术特征摘要】
1.一种Web应用安全保护方法,其特征在于,所述方法应用于安装有Web应用防火墙的电子设备,所述方法包括:
接收客户端发送的包含加密的URL的第一Web请求;
对所述第一Web请求中加密的URL进行解密,得到解密的URL;
生成包含解密的URL的第二Web请求;
将所述第二Web请求发送给Web服务器。
2.根据权利要求1所述的Web应用安全保护方法,其特征在于,在接收客户端发送的包含加密的URL的第一Web请求之前,所述方法还包括:
检测所述客户端发送的Web请求中的URL是否加密;
在检测到所述客户端发送的Web请求中的URL未加密时,将对URL进行加密的加密信息发送给所述客户端;
在所述客户端对URL加密后,接收所述第一Web请求。
3.如权利要求2所述的Web应用安全保护方法,其特征在于,所述加密信息包括包含URL加密算法的JS脚本及公钥。
4.如权利要求3所述的Web应用安全保护方法,其特征在于,所述加密算法包括基于椭圆曲线的加密算法,其中所述加密的URL是基于所述公钥及所述客户端的请求时间确定的随机数生成的密文。
5.如权利要求4所述的Web应用安全保护方法,其特征在于,所述对所述第一Web请求中加密的URL进行解密,得到解密的URL包括:
利用所述基于椭圆曲线的加密算法的私钥及所述客户端的请求时间确定的随机数,对所述第一Web请求中加密的URL进行解密,得到解密的URL。
6.如权利要求1至5中任意一项所述的Web应用安全保护方法...
【专利技术属性】
技术研发人员:徐迪,刘书林,吴君轶,李立,廖婷,
申请(专利权)人:中移杭州信息技术有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。