本发明专利技术公开了一种基于变换的隐式防护方法及装置,包括:响应于客户端对服务端发送数据请求,且数据请求包括目标字段,对目标字段进行第一处理,得到第一数据字段;响应于服务端接收到包括第一数据字段的数据请求,对第一数据字段进行第二处理,得到第二数据字段;若第二数据字段与客户端对应的原始字段相匹配,获得与数据请求对应的目标数据;对第二数据字段进行第三处理得到第三数据字段,并将包括第三数据字段的目标数据发送至客户端,其中,第三处理为与第一处理相匹配的处理。本发明专利技术通过服务器为每一客户端提供与之对应的用于访问的目标字段,并进行变换处理,使得攻击者无法绕过,进而对相关漏洞攻击进行有效防护。进而对相关漏洞攻击进行有效防护。进而对相关漏洞攻击进行有效防护。
【技术实现步骤摘要】
一种基于变换的隐式防护方法及装置
[0001]本专利技术涉及数据安全
,特别是涉及一种基于变换的隐式防护方法及装置。
技术介绍
[0002]JAVA的序列化和反序列化实质是JAVA对象和字节序列之间的相互转换,其主要目的是便于JAVA对象的存储和传输。但是由于在进行反序列化过程中,对生成的对象的类型没有做合理限制,那么攻击者就可以构造恶意输入,从而导致任意代码执行。
[0003]ApacheShiro作为一个JAVA安全框架,主要是功能是执行身份验证、授权、密码学和会话管理,是一款功能强大的安全框架。其提供了“记住我”的功能(rememberMe),用户登录成功后会生成经过加密并编码的cookie信息。cookie的key为rememberMe,其值首先经过序列化转换为字节序列后,再经过AES加密和Base64编码后形成。在实际访问过程中,当服务器接收到cookie值后,首先检索rememberMe的值,然后进行逆操作,即Base64解密、AES解密、反序列化,然而在进行反序列化过程中由于没有任何过滤条件,将会产生远程代码执行漏洞,进而可能导致服务器被控。
[0004]针对反序列化漏洞的防护方法,其主要是先进行漏洞攻击检测或者异常请求检测,检测存在明显攻击payload后再进行有针对性地防护,如丢弃请求等。其防护方式主要分为白名单、黑名单以及结合定制检测系统检测结果有针对性地防护等。白名单防护方式主要是通过预先设置IP白名单确定客户端IP地址是否为受信任的IP地址,尽可能防止反序列化漏洞的攻击;黑名单方式主要将反序列化操作的目标对象与黑名单配置文件这个携带有恶意代码对象进行比对,若相同则终止目标对象的反序列化操作;结合定制检测系统检测结果进行防护的方式主要是通过检测系统的结果,有针对性地进行防护,对于不安全的请求则选择丢弃,安全的请求则进行处理,检测系统可以部署在应用服务器或者反向代理服务器中。
[0005]由于目前的防护手段需要先进行漏洞攻击检测,检测手段无论是利用专业检测系统,还是自定义规则等方法,均会存在无法检测成功的情况,防护情况严重依赖检测效果,进而导致无法进行有效防护。其主要的技术缺陷包括:首先是严重依赖检测结果,不管是传统的检测方法还是定制化检测系统,都依赖检测结果来制定防护措施,若检测失败则会导致防护效果较差,增加安全风险;其次是由于漏洞的披露和官方升级之间存在时间差,在官方补丁出现之前,系统很容易受到攻击,通过白名单、黑名单等防护方法很难完全覆盖所有攻击方式,容易被绕过,且需要大量人力来维护黑白名单,进行不断更新,进而导致防护效果较差。
技术实现思路
[0006]针对于上述问题,本专利技术提供了一种基于变换的隐式防护方法及装置,实现了有效及时对数据进行防护,提升数据安全性的目的。
[0007]为了实现上述目的,本专利技术提供了如下技术方案:
[0008]一种基于变换的隐式防护方法,所述方法包括:
[0009]响应于客户端对服务端发送数据请求,且所述数据请求包括目标字段,对所述目标字段进行第一处理,得到第一数据字段;
[0010]响应于所述服务端接收到包括所述第一数据字段的数据请求,对所述第一数据字段进行第二处理,得到第二数据字段;
[0011]若所述第二数据字段与所述客户端对应的原始字段相匹配,获得与所述数据请求对应的目标数据;
[0012]对所述第二数据字段进行第三处理得到第三数据字段,并将包括所述第三数据字段的目标数据发送至所述客户端,其中,所述第三处理为与所述第一处理相匹配的处理。
[0013]一种基于变换的隐式防护装置,所述装置包括:
[0014]第一处理单元,用于响应于客户端对服务端发送数据请求,且所述数据请求包括目标字段,对所述目标字段进行第一处理,得到第一数据字段;
[0015]第二处理单元,用于响应于所述服务端接收到包括所述第一数据字段的数据请求,对所述第一数据字段进行第二处理,得到第二数据字段;
[0016]获取单元,用于若所述第二数据字段与所述客户端对应的原始字段相匹配,获得与所述数据请求对应的目标数据;
[0017]第三处理单元,用于对所述第二数据字段进行第三处理得到第三数据字段,并将包括所述第三数据字段的目标数据发送至所述客户端,其中,所述第三处理为与所述第一处理相匹配的处理。
[0018]一种存储介质,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如上任一项所述的基于变换的隐式防护方法。
[0019]一种电子设备,包括:
[0020]存储器,用于存储程序;
[0021]处理器,用于执行所述程序,所述程序用于实现如上任一项所述的基于变换的隐式防护方法。
[0022]相较于现有技术,本专利技术提供了一种基于变换的隐式防护方法及装置,包括:响应于客户端对服务端发送数据请求,且数据请求包括目标字段,对目标字段进行第一处理,得到第一数据字段;响应于服务端接收到包括第一数据字段的数据请求,对第一数据字段进行第二处理,得到第二数据字段;若第二数据字段与客户端对应的原始字段相匹配,获得与数据请求对应的目标数据;对第二数据字段进行第三处理得到第三数据字段,并将包括第三数据字段的目标数据发送至客户端,其中,第三处理为与第一处理相匹配的处理。本专利技术通过服务器为每一客户端提供与之对应的用于访问的目标字段,首先对该目标字段进行变换,在接收到请求后再进行反向变换,使得攻击者无法绕过,且由程序在编译时自动完成,解决人工接入和容易绕过的问题,进而对相关漏洞攻击进行有效防护。
附图说明
[0023]结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记标识相同或相似的元素。应当理
解附图是式意性的,原件和元素不一定按照比例绘制。
[0024]图1为本专利技术实施例提供的一种基于变换的隐式防护方法的流程示意图;
[0025]图2为本专利技术实施例提供的一种针对反序列化漏洞的防护的原理示意图;
[0026]图3为本专利技术实施例提供的一种当正常用户非首次访问时的处理流程示意图;
[0027]图4为本专利技术实施例提供的一种针对攻击者进行攻击时的防护方法的处理流程示意图;
[0028]图5为本专利技术实施例提供的一种基于变换的隐式防护装置的结构示意图。
具体实施方式
[0029]下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
[0030]本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于变换的隐式防护方法,其特征在于,所述方法包括:响应于客户端对服务端发送数据请求,且所述数据请求包括目标字段,对所述目标字段进行第一处理,得到第一数据字段;响应于所述服务端接收到包括所述第一数据字段的数据请求,对所述第一数据字段进行第二处理,得到第二数据字段;若所述第二数据字段与所述客户端对应的原始字段相匹配,获得与所述数据请求对应的目标数据;对所述第二数据字段进行第三处理得到第三数据字段,并将包括所述第三数据字段的目标数据发送至所述客户端,其中,所述第三处理为与所述第一处理相匹配的处理。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:响应于客户端对服务端发送数据请求,检测所述数据请求中是否包括目标字段;如果否,控制所述服务端生成与所述客户端相匹配的目标字段,并将所述目标字段存储至所述服务端。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述目标字段的字段值进行变换,得到变换后的目标字段;若所述服务端生成与所述数据请求对应的响应信息,将携带所述变换后的目标字段的响应信息发送至客户端,以使得所述客户端在对所述服务端进行再次访问时携带所述目标字段进行访问。4.根据权利要求1所述的方法,其特征在于,所述对所述目标字段进行第一处理,得到第一数据字段,包括:获取所述目标字段的最后一个字符;基于所述最后一个字符的类型,对所述目标字段进行转换,得到第一数据字段。5.根据权利要求1所述的方法,其特征在于,所述第二处理包括对字段值的解码、解密和反序列化处理。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第二数据字段与所述客户端对应的原始字段不匹配,将删除所述目标字段的数据请求进行发送至服务端...
【专利技术属性】
技术研发人员:韩杰,冯美琪,李建欣,李宏伟,王立松,蒋冰,
申请(专利权)人:中国民航信息网络股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。