一种网站防护方法、系统及装置制造方法及图纸

本发明专利技术提供一种网站防护方法、系统及装置，解决网站安全服务器无法有效保证应用服务器安全的问题。该方法中网站安全服务器接收到客户端发送的访问应用服务器的请求后，当该请求中携带WEB容器的私有变量时，根据自身保存的针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，当匹配成功时，将该请求过滤，否则，将该请求发送到应用服务器。由于本发明专利技术实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。

【技术实现步骤摘要】
一种网站防护方法、系统及装置
本专利技术涉及网络安全
，尤其涉及一种网站防护方法、系统及装置。
技术介绍
Struts2是为了提高开发人员的工作效率，提出的一种全新的框架。但Struts2在提高开发人员工作效率的同时，也带来了很多的问题，这是因为Struts2框架的底层是基于OGNL语言实现的，而OGNL语言本身可以调用Java静态函数进而执行系统命令，从而为系统带来不安全的隐患，另外，其他的框架也同样存在安全隐患的问题。用户访问应用服务器的请求发送到网站安全服务器，网站安全服务器根据自身保存的过滤策略，过滤掉不安全的请求，将安全的请求发送到应用服务器。网站安全服务器是保证应用服务器安全的节点，在网站安全服务器中需要部署相应的安全策略，保证应用服务器的安全。但是现有技术中网站安全服务器在接收到用户发送的访问应用服务器的请求后，网站安全服务器无法有效过滤掉对存在安全隐患的调用请求，从而无法保证应用服务器的安全。
技术实现思路
本专利技术实施例提供了一种网站防护方法、系统及装置，解决现有技术中网站安全服务器无法有效过滤用户发送的不安全的请求，无法有效保证应用服务器安全的问题。本专利技术本文档来自技高网...

【技术保护点】
一种网站防护方法，其特征在于，该方法包括：网站安全服务器接收客户端发送的访问应用服务器的请求；判断该请求中是否携带WEB容器的私有变量；当该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配；当匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。

【技术特征摘要】
1.一种网站防护方法，其特征在于，该方法包括：网站安全服务器接收客户端发送的访问应用服务器的请求；判断该请求中是否携带WEB容器的私有变量，其中所述WEB容器的私有变量包括Tomcat内置私有变量和Jboss内置私有变量；当该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配；当匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。2.如权利要求1所述的方法，其特征在于，所述判断该请求中是否携带WEB容器的私有变量之前，所述方法还包括：判断所述请求是否是对OGNL的调用；当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象；当该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，进行后续步骤。3.如权利要求2所述的方法，其特征在于，所述OGNL过滤库中包含的特殊字符为#、@和\。4.如权利要求2所述的方法，其特征在于，所述OGNL过滤库中包含的命令对象为：#_memberAccess.allowStaticMethodAccess、#context["xwork.MethodAccessor.denyMethodExecution"]和#_memberAccess.excludeProperties。5.如权利要求1或2所述的方法，其特征在于，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配之前，所述方法还包括：判断该WEB容器的私有变量是否为字...

【专利技术属性】
技术研发人员：苏洵，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：