本申请公开了一种XXE攻击防御方法、装置、设备及存储介质,应用于网络安全领域,包括:根据规则匹配确定满足XXE攻击特征的POST请求;当POST请求中存在有效的XXE攻击时,则将POST请求丢弃,并将预设数据包返回到攻击者终端,利用预设数据包中的JS代码访问JSONP探针获取攻击者身份信息;利用攻击者身份信息对XXE攻击进行防御。本方法可以识别出有效的XXE攻击,并对该攻击进行拦截处理和利用探针请求获取攻击者信息,利用攻击者信息对XXE攻击进行防御。同时,正常的业务请求不受影响。正常的业务请求不受影响。正常的业务请求不受影响。
【技术实现步骤摘要】
一种XXE攻击防御方法、装置、设备及存储介质
[0001]本申请涉及网络安全领域,特别涉及一种XXE攻击防御方法、装置、设备及存储介质。
技术介绍
[0002]由于业务需求,多WEB(互联网总称)应用程序往往会采用XML(eXtensible Markup Language,可扩展标记语言)格式进行数据传输。当应用程序解析XML输入时,若没有禁止外部实体的加载,导致可加载恶意外部文件,将可能存在XXE(XML External Entity Injection,XML外部实体注入漏洞)漏洞,该漏洞可导致攻击者随意造成文件读取、内网端口扫描、命令执行等危害。
[0003]现有的技术手段一般都侧重于对XXE漏洞的检测,缺乏后续如何阻断XXE攻击和如何捕获到利用XXE进行攻击的攻击者身份信息。
[0004]因此,目前本领域技术人员迫切需要解决的技术问题是,如何及时有效地阻断攻击并且获取攻击者身份信息。
技术实现思路
[0005]有鉴于此,本申请的目的在于提供一种XXE攻击防御方法、装置、设备及存储介质,解决了现有技术中不能及时有效地阻断攻击并且获取攻击者身份信息的问题。
[0006]为解决上述技术问题,本申请提供了一种XXE攻击防御方法,包括:
[0007]根据规则匹配确定满足XXE攻击特征的POST请求;
[0008]当所述POST请求中存在有效的XXE攻击时,则将所述POST请求丢弃,并将预设数据包返回到攻击者终端,利用所述预设数据包中的JS代码访问JSONP探针获取攻击者身份信息;
[0009]利用所述攻击者身份信息对所述XXE攻击进行防御。
[0010]可选的,所述根据规则匹配确定满足XXE攻击特征的POST请求,包括:
[0011]获取网站业务中的HTTP数据包和预设snort规则;
[0012]利用所述预设snort规则对所述HTTP数据包进行特征匹配,确定符合XXE攻击特征的POST请求。
[0013]可选的,所述获取预设snort规则,包括:
[0014]获取预设snort规则,所述预设snort规则至少包括传输数据符合XML特征、声明中引入外部实体的格式特征和利用预设协议符合攻击协议特征的一项。
[0015]可选的,所述POST请求中存在有效的XXE攻击,包括:
[0016]将所述POST请求中的外部实体地址替换为预设DNSLOG服务器地址;
[0017]当所述预设DNSLOG服务器监听到预设的网络DNS请求,则所述POST请求中存在有效的XXE攻击。
[0018]可选的,还包括:
[0019]将所述外部实体地址进行记录,利用所述外部实体地址进行XXE攻击检测。
[0020]可选的,所述将预设数据包返回到攻击者终端,利用所述预设数据包中的JS代码访问JSONP探针获取攻击者身份信息,包括:
[0021]将所述预设数据包返回到所述攻击者终端;
[0022]通过所述攻击者终端加载所述预设数据包中的JS代码,向所述访问JSONP探针发出请求;
[0023]当所述攻击者终端中发出所述XXE攻击的浏览器未清理Cookie,则通过所述浏览器获取所述攻击者身份信息。
[0024]可选的,所述POST请求中存在有效的XXE攻击,包括:
[0025]当所述XXE攻击为回显型XXE攻击时,则通过接收到预设服务器文件或返回预设内容确定所述POST请求中存在有效XXE攻击。
[0026]本申请还提供了一种XXE攻击防御装置,包括:
[0027]POST请求确定模块,用于根据规则匹配确定满足XXE攻击特征的POST请求;
[0028]攻击者身份信息获取模块,用于当所述POST请求中存在有效的XXE攻击时,则将所述POST请求丢弃,并将预设数据包返回到攻击者终端,利用所述预设数据包中的JS代码访问JSONP探针获取攻击者身份信息;
[0029]防御模块,用于利用所述攻击者身份信息对所述XXE攻击进行防御。
[0030]本申请还提供了一种XXE攻击防御设备,包括:
[0031]存储器,用于存储计算机程序;
[0032]处理器,用于执行所述计算机程序时实现上述的XXE攻击防御方法的步骤。
[0033]本申请还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的XXE攻击防御方法的步骤。
[0034]可见,本申请通过根据规则匹配确定满足XXE攻击特征的POST请求;当POST请求中存在有效的XXE攻击时,则将POST请求丢弃,并将预设数据包返回到攻击者终端,利用预设数据包中的JS代码访问JSONP探针获取攻击者身份信息;利用攻击者身份信息对XXE攻击进行防御。本方法可以识别出有效的XXE攻击,并对该攻击进行拦截处理和利用探针请求获取攻击者信息,利用攻击者信息对XXE攻击进行防御。同时,正常的业务请求不受影响。
[0035]此外,本申请还提供了一种XXE攻击防御装置、设备及存储介质,同样具有上述有益效果。
附图说明
[0036]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0037]图1为本申请实施例提供的一种XXE攻击防御方法的流程图;
[0038]图2为本申请实施例提供的一种XXE攻击防御方法的流程示例图;
[0039]图3为本申请实施例提供的一种XXE攻击防御装置的结构示意图;
[0040]图4为本申请实施例提供的一种XXE攻击防御设备的结构示意图。
具体实施方式
[0041]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0042]随着互联网的快速发展,越来越多的WEB应用被用于Internet(网络)中。对于WEB应用软件而言,是一种借助Internet技术加以连接的客户/服务器软件,并且可以传输数据。在市场需求的不断推动下,Web应用软件的种类与数量也不断增加,软件的复杂程度也不断增加,软件的质量与安全问题已成为人们越来越关注的问题。
[0043]XML是WEB中交换和传输数据中最常用的格式之一,很多的web server(提供Web服务的服务器)协议都是基于XML进行定义。JSON(JavaScript Object Notation,一种轻量级的数据交换格式)和XML是web传输中常见的两种文本格式。相比J本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种XXE攻击防御方法,其特征在于,包括:根据规则匹配确定满足XXE攻击特征的POST请求;当所述POST请求中存在有效的XXE攻击时,则将所述POST请求丢弃,并将预设数据包返回到攻击者终端,利用所述预设数据包中的JS代码访问JSONP探针获取攻击者身份信息;利用所述攻击者身份信息对所述XXE攻击进行防御。2.根据权利要求1所述的XXE攻击防御方法,其特征在于,所述根据规则匹配确定满足XXE攻击特征的POST请求,包括:获取网站业务中的HTTP数据包和预设snort规则;利用所述预设snort规则对所述HTTP数据包进行特征匹配,确定符合XXE攻击特征的POST请求。3.根据权利要求2所述的XXE攻击防御方法,其特征在于,所述获取预设snort规则,包括:获取预设snort规则,所述预设snort规则至少包括传输数据符合XML特征、声明中引入外部实体的格式特征和利用预设协议符合攻击协议特征的一项。4.根据权利要求1所述的XXE攻击防御方法,其特征在于,所述POST请求中存在有效的XXE攻击,包括:将所述POST请求中的外部实体地址替换为预设DNSLOG服务器地址;当所述预设DNSLOG服务器监听到预设的网络DNS请求,则所述POST请求中存在有效的XXE攻击。5.根据权利要求4所述的XXE攻击防御方法,其特征在于,还包括:将所述外部实体地址进行记录,利用所述外部实体地址进行XXE攻击检测。6.根据权利要求1至5任一项所述的XXE攻击防御方法,其特征在于,...
【专利技术属性】
技术研发人员:胡若凡,龚子倬,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。