【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种web应用的防护方法、装置、系统、waf设备及计算机可读存储介质。
技术介绍
1、目前,web(网页)应用已经深度进入人们的生活中,如购物平台、支付平台、视频平台、门户网站以至于app(应用程序)和小程序等都是基于web应用技术实现的。web服务器以其强大的计算能力、处理性能以及蕴含的越来越高的价值逐渐成为不法分子的重点攻击目标。在针对web应用的网络安全攻防对抗中,利用协议缺陷或安全性缺失而发起的web攻击是现阶段最主要的攻击思路之一,反射型xss攻击(跨站脚本攻击)就是一个比较典型的因安全选项缺失而被利用的攻击案例。在web协议中,其实已包含针对此类攻击行为的防护能力,只需要在web服务器内增加x-xss-protect字段(一种关键安全字段)即可打开浏览器的相应安全防护功能,进而避免此类攻击的发生。但在实际的web服务器相关设置中,由于web协议的各种安全选项的关键安全字段仅为安全性作用,与web业务不相关,为降低web服务器负载而未启用;web服务器建设周期长,初期规划建设时并未考虑到安全性问题,后续更改成本过高;站点数量过多,大范围改造成本过高,且对业务无直接帮助等原因,使得web协议的各种关键安全字段被极少启用,影响web安全防护能力。
2、因此,如何能够在不大范围改造web服务器的基础上,利用web协议的安全选项的启用,提高web应用的安全防护能力,减少改造成本,是现今急需解决的问题。
技术实现思路
1、本专利技术的目的
2、为解决上述技术问题,本专利技术提供一种web应用的防护方法,包括:
3、waf设备获取web服务器响应客户端设备的响应流量;
4、对所述响应流量的响应包头部字段进行配置,获取待发送响应流量;其中,所述待发送响应流量的响应包头部字段包括目标关键安全字段,所述目标关键安全字段包括至少一个关键安全字段,所述关键安全字段为web协议的安全选项对应的字段;
5、将所述待发送响应流量发送到所述客户端设备,以控制所述客户端设备启动所述待发送响应流量中所述目标关键安全字段对应的安全防护功能。
6、在一些实施例中,所述对所述响应流量的响应包头部字段进行配置,获取待发送响应流量,包括:
7、根据所述响应流量对应的目标防护策略,配置所述响应流量的响应包头部字段,获取所述待发送响应流量;其中,所述目标防护策略包括所述目标关键安全字段的信息。
8、在一些实施例中,所述根据所述响应流量对应的目标防护策略,配置所述响应流量的响应包头部字段,获取所述待发送响应流量,包括:
9、根据所述目标防护策略,判断所述响应流量的响应包头部字段是否包含全部所述目标关键安全字段;
10、若是,则将所述响应流量确定为所述待发送响应流量;
11、若否,则在所述响应流量的响应包头部字段中添加未包含字段,生成所述待发送响应流量;其中,所述未包含字段为所述响应流量的响应包头部字段未包含的目标关键安全字段。
12、在一些实施例中,所述根据所述目标防护策略,判断所述响应流量的响应包头部字段是否包含全部所述目标关键安全字段之前,还包括:
13、根据所述响应流量中的端口信息,确定所述目标防护策略。
14、在一些实施例中,所述waf设备获取web服务器响应客户端设备的响应流量,包括:
15、所述waf设备通过反向代理机制,获取所述web服务器响应所述客户端设备的所述响应流量。
16、在一些实施例中,所述关键安全字段包括:x-frame-options字段、x-content-type-options字段、x-xss-protect字段和content-security-policy字段。
17、本专利技术还提供了一种web应用的防护装置,应用于waf设备,包括:
18、流量获取模块,用于获取web服务器响应客户端设备的响应流量;
19、流量配置模块,用于对所述响应流量的响应包头部字段进行配置,获取待发送响应流量;其中,所述待发送响应流量的响应包头部字段包括目标关键安全字段,所述目标关键安全字段包括至少一个关键安全字段,所述关键安全字段为web协议的安全选项对应的字段;
20、流量发送模块,用于将所述待发送响应流量发送到所述客户端设备,以控制所述客户端设备启动所述待发送响应流量中所述目标关键安全字段对应的安全防护功能。
21、本专利技术还提供了一种waf设备,包括:
22、存储器,用于存储计算机程序;
23、处理器,用于执行所述计算机程序时实现如上述所述的web应用的防护方法的步骤。
24、本专利技术还提供了一种web应用的防护系统,包括:
25、如上述所述的waf设备;
26、客户端设备,用于接收所述waf设备发送的待发送响应流量,并启动所述待发送响应流量中所述目标关键安全字段对应的安全防护功能。
27、此外,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的web应用的防护方法的步骤。
28、本专利技术所提供的一种web应用的防护方法,包括:waf设备获取web服务器响应客户端设备的响应流量;对响应流量的响应包头部字段进行配置,获取待发送响应流量;其中,待发送响应流量的响应包头部字段包括目标关键安全字段,目标关键安全字段包括至少一个关键安全字段,关键安全字段为web协议的安全选项对应的字段;将待发送响应流量发送到客户端设备,以控制客户端设备启动待发送响应流量中目标关键安全字段对应的安全防护功能;
29、可见,本专利技术通过对响应流量的响应包头部字段进行配置,获取待发送响应流量,利用waf设备实现web协议的安全能力的启用,能够在不大范围改造web服务器的基础上,控制客户端设备启动web协议的安全选项,强化web恶意扫描防护的检测与防御机制,提高web应用的安全防护能力,减少了改造成本。此外,本专利技术还提供了一种web应用的防护装置、系统、waf设备及计算机可读存储介质,同样具有上述有益效果。
本文档来自技高网...【技术保护点】
1.一种Web应用的防护方法,其特征在于,包括:
2.根据权利要求1所述的Web应用的防护方法,其特征在于,所述对所述响应流量的响应包头部字段进行配置,获取待发送响应流量,包括:
3.根据权利要求2所述的Web应用的防护方法,其特征在于,所述根据所述响应流量对应的目标防护策略,配置所述响应流量的响应包头部字段,获取所述待发送响应流量,包括:
4.根据权利要求2所述的Web应用的防护方法,其特征在于,所述根据所述目标防护策略,判断所述响应流量的响应包头部字段是否包含全部所述目标关键安全字段之前,还包括:
5.根据权利要求1所述的Web应用的防护方法,其特征在于,所述WAF设备获取Web服务器响应客户端设备的响应流量,包括:
6.根据权利要求1所述的Web应用的防护方法,其特征在于,所述关键安全字段包括:X-Frame-Options字段、X-Content-Type-Options字段、X-XSS-Protect字段和Content-Security-Policy字段。
7.一种Web应用的防护装置,其特征在于
8.一种WAF设备,其特征在于,包括:
9.一种Web应用的防护系统,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的Web应用的防护方法的步骤。
...【技术特征摘要】
1.一种web应用的防护方法,其特征在于,包括:
2.根据权利要求1所述的web应用的防护方法,其特征在于,所述对所述响应流量的响应包头部字段进行配置,获取待发送响应流量,包括:
3.根据权利要求2所述的web应用的防护方法,其特征在于,所述根据所述响应流量对应的目标防护策略,配置所述响应流量的响应包头部字段,获取所述待发送响应流量,包括:
4.根据权利要求2所述的web应用的防护方法,其特征在于,所述根据所述目标防护策略,判断所述响应流量的响应包头部字段是否包含全部所述目标关键安全字段之前,还包括:
5.根据权利要求1所述的web应用的防护方法,其特征在于,所述waf设备获取web服务器响应客户端设备的...
【专利技术属性】
技术研发人员:于建辉,李云鹏,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。