破壞漏洞掃描的結(jié)果的制作方法
【專利摘要】本發(fā)明涉及破壞漏洞掃描的結(jié)果�����。一種安全性設(shè)備可以從服務(wù)器設(shè)備接收對請求的響應(yīng)�。請求可以由攻擊者設(shè)備提供并且可以包括多個輸入值�。安全性設(shè)備可以基于接收到響應(yīng)而確定包括在請求中的多個輸入值。安全性設(shè)備可以修改響應(yīng)以形成被修改的響應(yīng)���。該響應(yīng)可以修改以包括與多個輸入值相關(guān)聯(lián)的信息����。該響應(yīng)可以被修改以嘗試防止攻擊者設(shè)備基于正被包括在響應(yīng)中的多個輸入值來標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞。安全性設(shè)備向攻擊者設(shè)備提供被修改的響應(yīng)���。
【專利說明】
破壞漏洞掃描的結(jié)果
【背景技術(shù)】
[0001]黑客可以標識應(yīng)用���、程序、網(wǎng)絡(luò)����、系統(tǒng)等的漏洞(比如,代碼的弱點����、安全性的弱點,等等)���。黑客可以在已經(jīng)標識出弱點之后嘗試利用該漏洞(比如��,通過嵌入惡意內(nèi)容���、通過獲取私人息�、等等)��。
【發(fā)明內(nèi)容】
[0002]根據(jù)一些可能的實現(xiàn)�,安全性設(shè)備可以包括用于進行如下的一個或者多個處理器:從服務(wù)器設(shè)備接收對請求的響應(yīng),其中該請求可以由攻擊者設(shè)備提供�����、并且可以包括多個輸入值����;基于接收到該響應(yīng)而確定包括在請求中的多個輸入值;修改響應(yīng)以形成被修改的響應(yīng)��,其中該響應(yīng)被修改以包括與多個輸入值相關(guān)聯(lián)的信息����,并且其中該響應(yīng)可以被修改以嘗試防止攻擊者設(shè)備基于正被包括在響應(yīng)中的多個輸入值來標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞;以及向攻擊者設(shè)備提供被修改的響應(yīng)���。
[0003]根據(jù)一些可能的實現(xiàn)��,計算機可讀介質(zhì)可以存儲一個或者多個指令,當該一個或者多個指令由一個或者多個處理器執(zhí)行時��,使得一個或者多個處理器:從服務(wù)器設(shè)備接收與由攻擊者設(shè)備提供的請求相關(guān)聯(lián)的響應(yīng),其中請求可以包括輸入集���;獲得標識被包括在請求中的輸入集的信息�����;修改響應(yīng)以包括與輸入集中的多個輸入相關(guān)聯(lián)的信息���,其中響應(yīng)可以被修改以嘗試防止攻擊者設(shè)備接收基于正被包括在被修改響應(yīng)中的輸入集內(nèi)的多個輸入來標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞的信息;以及向攻擊者設(shè)備提供被修改的輸入��。
[0004]根據(jù)一些可能的實現(xiàn)��,方法可以包括:由安全性設(shè)備接收對請求的響應(yīng)�,其中請求可以由攻擊者設(shè)備向服務(wù)器設(shè)備提供、并且可以包括輸入值�����,其中輸入值可以由攻擊者設(shè)備提供���,以及其中響應(yīng)可以由服務(wù)器設(shè)備提供�����;由安全性設(shè)備確定包括在請求中的輸入值���;由安全性設(shè)備修改響應(yīng)以包括該輸入值中的多個輸入值�;以及由安全性設(shè)備提供被修改的響應(yīng)以嘗試使得攻擊者設(shè)備不能夠基于正包括在響應(yīng)中的多個輸入值來標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞����。
【專利附圖】
【附圖說明】
[0005]圖1A和圖1B是本文所述示例實現(xiàn)的概要圖。
[0006]圖2是可以在其中實現(xiàn)本文所述系統(tǒng)和/或方法的示例環(huán)境圖�����。
[0007]圖3是圖2的一個或者多個設(shè)備的示例部件圖�����。
[0008]圖4是用于接收包括一個或者多個輸入值的請求并向該請求提供響應(yīng)的示例處理的流程圖��。
[0009]圖5A和圖5B是涉及圖4中示出的示例處理的示例實現(xiàn)的圖�����。
[0010]圖6是用于修改與請求相關(guān)聯(lián)的響應(yīng)以在請求中包括與一個或者多個輸入值的每一個相關(guān)聯(lián)的信息的示例處理的流程圖��。
[0011]圖7A-圖7C是涉及圖6中所示示例處理的示例實現(xiàn)的圖�。
【具體實施方式】
[0012]示例實現(xiàn)的如下詳細描述參照附圖����。不同圖中的同一參考標號可以標識相同或者類似的元件����。
[0013]黑客可能希望標識在應(yīng)用中可能允許黑客出于惡意目的(例如���,為了獲得與另一用戶相關(guān)聯(lián)的登錄信息�����,與其他用戶相關(guān)聯(lián)的會話cookie)從事惡意行為(例如����,嵌入惡意內(nèi)容����、注入代碼,等等)的漏洞(例如���,跨站點腳本(“XSS”)漏洞���,結(jié)構(gòu)化查詢語言(“SQL”)注入漏洞����,等等)���。
[0014]可以允許黑客標識漏洞的一種方法是確定(例如���,利用漏洞掃描器,等等)與對服務(wù)器設(shè)備(例如��,與該應(yīng)用相關(guān)聯(lián)的服務(wù)器設(shè)備)的請求相關(guān)聯(lián)的輸入是否反映在由服務(wù)器設(shè)備生成的響應(yīng)中(例如���,反映的輸入可以表示應(yīng)用中的漏洞)�。本文所述的實現(xiàn)可以允許與服務(wù)器設(shè)備相關(guān)聯(lián)的安全性設(shè)備修改響應(yīng)以包括與由黑客(例如�,經(jīng)由攻擊者設(shè)備)提供的一個或者多個輸入值的每一個相關(guān)聯(lián)的信息。以這種方式��,安全性設(shè)備可以指示與由黑客提供的每個輸入相關(guān)聯(lián)的漏洞���,并且黑客可能不容易標識實際漏洞(例如�����,因為該響應(yīng)將包括與一個或者多個輸入值相關(guān)聯(lián)的一個或者多個誤報)��。
[0015]圖1A和IB是本文所述示例實現(xiàn)100的概要圖�����。出于示例實現(xiàn)100的目的����,假設(shè)黑客希望標識(例如��,使用在攻擊者設(shè)備上執(zhí)行的漏洞掃描器)由服務(wù)器設(shè)備托管的應(yīng)用中的漏洞�。如所示出的那樣,假設(shè)黑客希望基于與該應(yīng)用相關(guān)聯(lián)的一個或者多個輸入值來標識漏洞(例如����,所反映的輸入可以指示漏洞)。
[0016]如在圖1A中所示����,攻擊者設(shè)備可以提供與多個字段(例如,字段I到字段N)相關(guān)聯(lián)的多個輸入值(例如����,輸入I到輸入N(N>1))。如進一步所示,攻擊者設(shè)備可以向服務(wù)器設(shè)備發(fā)送請求���,該請求包括標識N個輸入值的每一個值的信息����,并且包括與該請求相關(guān)聯(lián)的其他信息(未示出)��。如進一步所示���,服務(wù)器設(shè)備可以接收該請求并可以生成對該請求的響應(yīng)����。如所示出的那樣���,響應(yīng)可以包括標識輸入2(例如����,輸入2被反映在響應(yīng)中)的信息和與該響應(yīng)相關(guān)聯(lián)的其他信息(未示出)���。
[0017]如在圖1B中所示���,服務(wù)器設(shè)備可以向(例如,與服務(wù)器設(shè)備相關(guān)聯(lián)的)安全性設(shè)備提供響應(yīng)(例如,包括標識輸入2的信息)�。如所示出的那樣,安全性設(shè)備可以(例如����,基于從服務(wù)器設(shè)備接收的信息或者包括在請求中的信息)確定標識N個輸入值的每個輸入值的信息,并且可以基于標識N個輸入值的每個輸入值的信息來修改請求(例如���,以使得N個輸入值的每個輸入值被反映在修改的響應(yīng)中)��。
[0018]如進一步所示,安全性設(shè)備可以向攻擊者設(shè)備提供修改的響應(yīng)��。如所示出的那樣��,攻擊者設(shè)備可以(例如�,向黑客)提供信息,該信息標識N個輸入值的每個輸入值被反映在響應(yīng)中�����。如所示出的那樣�����,黑客可能不能標識出與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞(例如,因為響應(yīng)包括與N個輸入值的一個或者多個輸入值相關(guān)聯(lián)的誤報)�����。
[0019]以這種方式�����,與服務(wù)器設(shè)備相關(guān)聯(lián)的安全性設(shè)備可以修改與由攻擊者設(shè)備提供的請求相關(guān)聯(lián)的響應(yīng)以包括信息�,該信息標識包括在請求中的一個或者多個輸入值。這可以防止與攻擊者設(shè)備相關(guān)聯(lián)的黑客標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞���。
[0020]圖2是可以在其中實現(xiàn)本文所述系統(tǒng)和/或方法的示例環(huán)境200的圖����。如圖2中所示��,環(huán)境200可以包括攻擊者設(shè)備210���、網(wǎng)絡(luò)220��、服務(wù)器設(shè)備230���、以及安全性設(shè)備240��。
[0021]攻擊者設(shè)備210可以包括能夠經(jīng)由網(wǎng)絡(luò)(例如��,網(wǎng)絡(luò)220)與其他設(shè)備(例如���,服務(wù)器設(shè)備230)通信和/或能夠接收由另一設(shè)備(例如,服務(wù)器設(shè)備230)提供的信息的一個或者多個設(shè)備�����。例如��,攻擊者設(shè)備210可以包括計算設(shè)備��,諸如筆記本計算機��、平板計算機�、手持計算機�、臺式計算機、移動電話(例如���,智能電話��,無線電電話����,等等)、個人數(shù)字助理�����、或者類似設(shè)備����。在一些實現(xiàn)中,攻擊者設(shè)備210可以能夠生成并(例如���,向服務(wù)器設(shè)備230)發(fā)送請求(例如���,與由服務(wù)器設(shè)備230托管的應(yīng)用相關(guān)聯(lián)的請求),并接收與該請求相關(guān)聯(lián)的響應(yīng)�。此外,或者作為備選方案�����,攻擊者設(shè)備210可以能夠標識(例如�����,通過執(zhí)行漏洞掃描器,等等)與服務(wù)器設(shè)備230相關(guān)聯(lián)的漏洞(例如��,與由服務(wù)器設(shè)備230托管的應(yīng)用相關(guān)聯(lián)的漏洞��,等等)�。
[0022]網(wǎng)絡(luò)220可以包括一個或者多個有線和/或無線網(wǎng)絡(luò)。例如���,網(wǎng)絡(luò)220可以包括無線局域網(wǎng)(WLAN)����、局域網(wǎng)(LAN)���、廣域網(wǎng)(WAN)�����、城域網(wǎng)(MAN)、電話網(wǎng)(例如�,公共交換電話網(wǎng)(PSTN))、蜂窩網(wǎng)�、公共陸地移動網(wǎng)(PLMN)、ad hoc網(wǎng)����、內(nèi)聯(lián)網(wǎng)����、互聯(lián)網(wǎng)��、基于光纖的網(wǎng)絡(luò)���、或者這些貨其他類型網(wǎng)絡(luò)的組合���。在一些實現(xiàn)中,網(wǎng)絡(luò)220可以允許設(shè)備間的通信��,設(shè)備諸如攻擊者設(shè)備210����、服務(wù)器設(shè)備230、和/或安全性設(shè)備240��。
[0023]服務(wù)器設(shè)備230可以包括能夠接收����、提供、生成�����、存儲、和/或處理接收的或經(jīng)由網(wǎng)絡(luò)(例如�,網(wǎng)絡(luò)220)和/或另一設(shè)備(例如,安全性設(shè)備240)提供的信息�����。例如�����,服務(wù)器設(shè)備230可以包括計算設(shè)備�,諸如服務(wù)器(例如,應(yīng)用服務(wù)器����、內(nèi)容服務(wù)器、主機服務(wù)器�����、web服務(wù)器����,等等)。在一些實現(xiàn)中��,服務(wù)器設(shè)備230可以(例如��,經(jīng)由網(wǎng)絡(luò)220和/或安全性設(shè)備240)從攻擊者設(shè)備210接收信息和/或向攻擊者設(shè)備210提供信息��。此外���,或者作為備選方案����,服務(wù)器設(shè)備230可以能夠生成對從另一設(shè)備(例如�,攻擊者設(shè)備210)接收的請求的響應(yīng)。
[0024]安全性設(shè)備240可以包括能夠接收�、提供、生成�、存儲和/或處理經(jīng)由網(wǎng)絡(luò)(例如,網(wǎng)絡(luò)220)和/或另一設(shè)備(例如���,服務(wù)器設(shè)備230)接收的或提供的信息的一個或多個設(shè)備����。例如,安全性設(shè)備240可以包括計算設(shè)備��,諸如服務(wù)器�。在一些實現(xiàn)中,安全性設(shè)備240可以(例如��,經(jīng)由網(wǎng)絡(luò)220)從攻擊者設(shè)備210和/或服務(wù)器設(shè)備230接收信息和/或(例如���,經(jīng)由網(wǎng)絡(luò)220)向攻擊者設(shè)備210和/或服務(wù)器設(shè)備230提供信息����。此外�����,或者作為備選方案����,安全性設(shè)備240可以包括能夠處理和/或傳送攻擊者設(shè)備210與服務(wù)器設(shè)備230之間的通信(例如,請求�、響應(yīng),等等)的一個或者多個設(shè)備��。例如��,安全性設(shè)備240可以包括網(wǎng)絡(luò)設(shè)備,諸如反向代理���、服務(wù)器(例如,代理服務(wù)器)��、業(yè)務(wù)傳送設(shè)備�、防火墻、路由器����、負載均衡器等。
[0025]在一些實現(xiàn)中�,安全性設(shè)備240可以能夠確定與由另一設(shè)備(例如,攻擊者設(shè)備210)提供的請求相關(guān)聯(lián)的一個或者多個輸入值����。此外,或者作為備選方案����,安全性設(shè)備240可以能夠基于與請求相關(guān)聯(lián)的一個或者多個輸入值修改與由另一設(shè)備(例如,服務(wù)器設(shè)備230)提供的請求相關(guān)聯(lián)的響應(yīng)��。
[0026]安全性設(shè)備240可以用在與單個服務(wù)器設(shè)備230或者一組服務(wù)器設(shè)備230 (例如�����,數(shù)據(jù)中心)的連接中。通信可以通過安全性設(shè)備240路由到達一個或者多個服務(wù)器設(shè)備230.例如�����,安全性設(shè)備240可以作為向包括一個或者多個服務(wù)器設(shè)備230的私有網(wǎng)絡(luò)的網(wǎng)關(guān)而定位于網(wǎng)絡(luò)內(nèi)�����。
[0027]出于解釋的目的提供了圖2中所示的設(shè)備和網(wǎng)絡(luò)的數(shù)目����。在實踐中,可以有額外設(shè)備和/或網(wǎng)絡(luò)�����、更少設(shè)備和/或網(wǎng)絡(luò)�、不同設(shè)備和/或網(wǎng)絡(luò)、或者與圖2中所示的那些布置不同的設(shè)備和/或網(wǎng)絡(luò)��。此外���,圖2中所示的兩個或者多個設(shè)備可以在單個設(shè)備內(nèi)實現(xiàn)��,或者圖2中所示的單個設(shè)備可以作為多個�、分布的設(shè)備實現(xiàn)。此外��,環(huán)境200的一個或者多個設(shè)備可以執(zhí)行被描述為由環(huán)境200的另外一個或者多個設(shè)備執(zhí)行的一個或者多個功能�。環(huán)境200的設(shè)備可以經(jīng)由有線連接、無線連接�、或者有線連接和無線連接的組合互聯(lián)�����。
[0028]圖3是設(shè)備300的不例部件圖���。設(shè)備300可以對應(yīng)于攻擊者設(shè)備210��、服務(wù)設(shè)備230�、和/或安全性設(shè)備240���。此外���,或者作為備選方案,攻擊者設(shè)備210�、服務(wù)器設(shè)備230����、和/或安全性設(shè)備240中的每一個可以包括一個或者多個設(shè)備300和/或設(shè)備300的一個或者多個部件�。如圖3所示,設(shè)備300可以包括總線310�����、處理器320���、存儲器330����、輸入部件340���、輸出部件350���、和通信接口 360。
[0029]總線310可以包括允許設(shè)備300的部件間通信的路徑�。處理器320可以包括解釋和/或執(zhí)行指令的處理器、微處理器����、和/或任何處理部件(現(xiàn)場可編程門陣列(“FPGA”)��、專用集成電路(“八51(:”)����,等等)��。在一些實現(xiàn)中���,處理器320可以包括一個或者多個處理器核��。存儲器330可以包括隨機訪問存儲器(“RAM”)、只讀存儲器(“ROM”)����、和/或存儲用于處理器320使用的信息和/或指令的任何類型的動態(tài)或者靜態(tài)存儲設(shè)備(例如,閃存�����、磁存儲器�、光存儲器,等等)����。
[0030]輸入部件340可以包括允許用戶向設(shè)備300輸入信息的任何部件(例如�����,鍵盤��、小鍵盤���、鼠標、按鈕�、開關(guān),等等)�。輸出部件350可以包括從設(shè)備300輸出信息的任何部件(例如,顯示器�����、揚聲器���、一個或者多個發(fā)光二極管(“1^0”)�,等等)����。
[0031]通信接口 360可以包括能夠使設(shè)備300諸如經(jīng)由有線連接、無線連接��、或者有線連接與無線連接的組合與其他設(shè)備和/或系統(tǒng)通信的任何類似收發(fā)機的部件,諸如收發(fā)機和/或分離的接收機和發(fā)射機��。例如���,通信接口 360可以包括用于經(jīng)由網(wǎng)絡(luò)與另一設(shè)備和/或系統(tǒng)通信的部件�����。此外��,或者作為備選方案�����,通信接口 360可以包括有助于從另一設(shè)備或者向另一設(shè)備的數(shù)據(jù)傳輸?shù)木哂休斎肱c輸出端口、輸入與輸出系統(tǒng)���、和/或其他輸入與輸出部件的邏輯部件�,諸如以太網(wǎng)接口��、光接口�����、同軸電纜接口、紅外線接口�����、射頻接口( “RF”)�、通用串行總線(“USB”)接口,等等����。
[0032]設(shè)備300可以執(zhí)行本文所述各種操作。響應(yīng)于處理器320執(zhí)行包括在計算機可讀介質(zhì)�,諸如存儲器330中的軟件指令,設(shè)備300可以執(zhí)行這些操作�����。計算機可讀介質(zhì)可以被定義為非瞬態(tài)存儲器設(shè)備�����。存儲器設(shè)備可以包括遍布多個物理存儲設(shè)備的單個物理存儲設(shè)備或者存儲器空間內(nèi)的存儲器空間���。
[0033]軟件指令可以經(jīng)由通信接口 360從另一計算機可讀介質(zhì)或者從另一設(shè)備讀入存儲器330��。當存儲器330中存儲的軟件指令被執(zhí)行時����,可以使得處理器320執(zhí)行本文所述的一個或者多個處理。此外��,或者作為備選方案����,硬件電路系統(tǒng)可以用于代替軟件指令或者與軟件指令結(jié)合用以執(zhí)行本文所述一個或者多個處理。因此���,本文所述的實現(xiàn)不限定于硬件電路系統(tǒng)和軟件的任何特定組合����。
[0034]為了解釋的目的提供了圖3所示的部件的數(shù)目�。在實踐中,設(shè)備300可以包括額外部件��、更少部件���、不同部件、或者與圖3中所示的那些布置不同的部件����。
[0035]圖4是用于接收包括一個或者多個輸入值的請求并對請求提供響應(yīng)的示例處理400的流程圖�����。在一些實現(xiàn)中��,圖4的一個或者多個處理框可以由服務(wù)器設(shè)備230執(zhí)行�。在一些實現(xiàn)中�����,圖4的一個或者多個處理框可以由與服務(wù)器設(shè)備230分開或包括服務(wù)器230的另一設(shè)備或者一組設(shè)備(諸如安全性設(shè)備240)實現(xiàn)��,��。
[0036]如圖4所示�,處理400可以包括從攻擊者設(shè)備接收包括一個或者多個輸入值的請求(框410)。例如����,服務(wù)器設(shè)備230可以從攻擊者設(shè)備210接收包括一個或者多個輸入值的請求。在一些實現(xiàn)中�����,當攻擊者設(shè)備經(jīng)由網(wǎng)絡(luò)220發(fā)送請求時,服務(wù)器設(shè)備230可以從攻擊者設(shè)備210接收請求�。在一些實現(xiàn)中,服務(wù)器設(shè)備230可以經(jīng)由另一設(shè)備(例如���,安全性設(shè)備240)接收請求��。
[0037]請求可以包括有自攻擊者設(shè)備210向服務(wù)器設(shè)備230發(fā)送的(例如����,經(jīng)由安全性設(shè)備240和/網(wǎng)絡(luò)220)與資源(例如�����,超文本標記語言(“HTML”)文件�、圖像文件、視頻文件�����、音頻文件���,等等)相關(guān)聯(lián)的消息�,該資源與攻擊者設(shè)備210希望從服務(wù)器設(shè)備230接收的應(yīng)用(例如���,web應(yīng)用)相關(guān)聯(lián)��。
[0038]在一些實現(xiàn)中��,請求可以包括標識由攻擊者設(shè)備210提供的����、與攻擊者設(shè)備210希望從服務(wù)器設(shè)備230接收的資源相關(guān)聯(lián)的一個或者多個輸入值的信息���。例如�,請求可以包括由攻擊者設(shè)備210提供的����、與由服務(wù)器設(shè)備230托管的應(yīng)用(例如,web應(yīng)用)相關(guān)聯(lián)的一個或者多個輸入值(例如���,經(jīng)由包括在網(wǎng)站上的一個或者多個輸入字段提供的輸入值)��。在一些實現(xiàn)中����,攻擊者設(shè)備210可以提供輸入值����,以基于由服務(wù)器設(shè)備230提供的資源嘗試標識漏洞(例如�,XSS漏洞����、SQL注入漏洞、代碼弱點�����,等等)���。例如�����,攻擊者設(shè)備210可以提供用于(例如���,包括在網(wǎng)站內(nèi)的)一個或者多個字段的輸入值,并且可以向服務(wù)器設(shè)備230發(fā)送包括一個或者多個輸入值的請求(例如��,提供HTML文件的請求)��。攻擊者設(shè)備210可以基于與被包括在對請求的響應(yīng)中的輸入值相關(guān)聯(lián)的信息來確定漏洞(例如��,XSS漏洞)是否存在(例如,反映在對請求的響應(yīng)中的輸入值可以指示XSS漏洞存在)�����。在一些實現(xiàn)中��,攻擊者設(shè)備210可以生成包括在請求中的輸入值(例如��,使用漏洞掃描器)����。此外�����,或者作為備選方案�����,攻擊者設(shè)備210的用戶(例如���,黑客)可以提供輸入值(例如��,經(jīng)由攻擊者設(shè)備 210)�。
[0039]在一些實現(xiàn)中,請求可以包括標識攻擊者設(shè)備210的信息(例如���,標識攻擊者設(shè)備210的字符串����、與攻擊者設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)地址����、與攻擊者設(shè)備210相關(guān)聯(lián)的端口號,等等)���。此外��,或者作為備選方案�����,請求可以包括標識服務(wù)器設(shè)備230的信息(例如�����,標識攻擊者設(shè)備230的字符串����、與攻擊者設(shè)備230相關(guān)聯(lián)的網(wǎng)絡(luò)地址、與攻擊者設(shè)備230相關(guān)聯(lián)的端口號�����、標識由服務(wù)器設(shè)備230托管的應(yīng)用的信息�����,等等)��。
[0040]在一些實現(xiàn)中�,服務(wù)器設(shè)備230可以基于包括在請求中的信息接收請求����。例如,月艮務(wù)器設(shè)備230可以基于包括在請求中的(例如�,標識服務(wù)器設(shè)備230的)網(wǎng)絡(luò)地址來接收請求。作為附加示例�,服務(wù)器設(shè)備230可以基于包括在請求中的、與由服務(wù)器230托管的應(yīng)用(例如����,web應(yīng)用)相關(guān)聯(lián)的信息(例如,web地址��、統(tǒng)一資源定位符(“URL”),等等)來接收請求���。
[0041]如在圖4中進一步所示,處理400可以包括生成對請求的響應(yīng)(框420)���。例如,月艮務(wù)器設(shè)備230可以生成對從攻擊者設(shè)備210接收的請求的響應(yīng)。在一些實現(xiàn)中����,當服務(wù)器設(shè)備230從攻擊者設(shè)備210接收請求時,服務(wù)器設(shè)備230可以生成響應(yīng)。此外���,或者作為備選方案����,當服務(wù)器設(shè)備230從另一設(shè)備(例如��,安全性設(shè)備240)接收指示服務(wù)器設(shè)備230可以生成響應(yīng)的信息時�,服務(wù)器設(shè)備230可以生成響應(yīng)。
[0042]響應(yīng)可以包括由服務(wù)器設(shè)備230提供的消息�����,該消息包括由攻擊者設(shè)備210請求的資源(例如,HTML文件���、圖像文件�、視頻文件����、音頻文件,等等)和/或其他信息�����。例如�����,服務(wù)器設(shè)備230可以發(fā)送對針對由服務(wù)器設(shè)備230托管的web應(yīng)用相關(guān)聯(lián)的HTML文件的請求的響應(yīng)��,該響應(yīng)包括HTML文件和/或與向攻擊者設(shè)備210提供HTML文件相關(guān)聯(lián)的其他信息���。
[0043]在一些實現(xiàn)中,響應(yīng)可以包括與和請求相關(guān)聯(lián)的一個或者多個輸入值相關(guān)聯(lián)的信息�。例如,攻擊者設(shè)備210可以提供輸入值(例如�,經(jīng)由包括在網(wǎng)站中的輸入字段),并且服務(wù)器設(shè)備230可以生成包括信息的響應(yīng)(例如,與網(wǎng)站相關(guān)聯(lián)的HTML文件)����,該信息標識由攻擊者設(shè)備210提供的一個或者多個輸入值(例如,HTML文件可以反映一個或者多個輸入值�、HTML文件可以包括標識一個或者多個輸入值的信息,等等)����。
[0044]在一些實現(xiàn)中,響應(yīng)可以包括標識攻擊者設(shè)備210的信息���,諸如與攻擊者設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)地址��、與攻擊者設(shè)備210相關(guān)聯(lián)的端口號��,等等����。此外�,或者作為備選方案,響應(yīng)可以包括標識服務(wù)器設(shè)備230的信息�����,諸如與服務(wù)器設(shè)備230相關(guān)聯(lián)的網(wǎng)絡(luò)地址、與服務(wù)器設(shè)備230相關(guān)聯(lián)的端口號����,等等。此外���,或者作為備選方案�����,響應(yīng)可以包括與向攻擊者設(shè)備210提供在請求中標識出的資源相關(guān)聯(lián)的其他信息���。
[0045]如在圖4中進一步所示,處理400可以包括向安全性設(shè)備提供響應(yīng)(框430)���。例如�,服務(wù)器設(shè)備230可以向安全性設(shè)備240提供響應(yīng)���。在一些實現(xiàn)中,當服務(wù)器設(shè)備230生成響應(yīng)時�����,服務(wù)器設(shè)備230可以向安全性設(shè)備240提供響應(yīng)。此外�,或者作為備選方案,當服務(wù)器設(shè)備從另一設(shè)備(例如�,安全性設(shè)備240)接收信息時,服務(wù)器設(shè)備230可以向安全性設(shè)備240提供響應(yīng)����,該信息指示服務(wù)器設(shè)備230可以提供響應(yīng)。在一些實現(xiàn)中�,服務(wù)器設(shè)備230可以經(jīng)由網(wǎng)絡(luò)220向安全性設(shè)備240提供響應(yīng)。
[0046]盡管圖4示出了在一些實現(xiàn)中的處理400的示例框�����,處理400可以包括額外框���、不同框����、更少框���、或者與圖4中的所示那些布置不同的框��。此外�,或者作為備選方案,處理400的一個或者多個框可以并行執(zhí)行���。
[0047]圖5A和圖5B是涉及圖4中所示示例處理400的示例實現(xiàn)500的圖�����。出于示例實現(xiàn)500的目的����,假設(shè)黑客希望(例如�����,經(jīng)由被標識為ADl的攻擊者設(shè)備)標識包括在與每日時報評論版相關(guān)聯(lián)的網(wǎng)站中的漏洞�����。另外��,假設(shè)攻擊者設(shè)備被配置為執(zhí)行程序(例如����,VScan)以基于與對每日時報服務(wù)器的請求相關(guān)聯(lián)的輸入值是否被反映在接收自每日時報服務(wù)器的響應(yīng)中來標識漏洞���。
[0048]如在圖5A中所示����,ADl可以(例如,經(jīng)由互聯(lián)網(wǎng))訪問與每日時報評論版相關(guān)聯(lián)的網(wǎng)址���。如所示出的那樣����,每日時報評論版可以包括與鍵入評論相關(guān)聯(lián)的輸入字段(例如�����,“添加評論”)����、與鍵入用戶名相關(guān)聯(lián)的輸入字段(例如,“用戶名”)�����、和與鍵入密碼相關(guān)聯(lián)的輸入字段(例如����,“密碼”)�。如所示出的那樣�����,ADl可以執(zhí)行VScan��,并且VScan可以使得ADl在添加評論字段�����、用戶名字段��、以及密碼字段中鍵入輸入值���。如所示出的那樣��,每個輸入值(例如���,“〈script>alert ( ‘VI’)〈/script〉”、“〈script>alert ( ‘V2’)〈/script〉”�、和“<script>alert ( ‘V3’)〈/script〉”)可以包括與運行腳本(例如,VScan可以基于HTML代碼是否被反映在來自每日時報服務(wù)器的響應(yīng)中來標識XSS漏洞)相關(guān)聯(lián)的HTML代碼�����。如進一步所示����,ADl可以向每日時報服務(wù)器發(fā)送(例如,通過選擇“發(fā)布評論”按鈕)請求(例如���,用于接收與發(fā)布評論相關(guān)聯(lián)的HTML文件的請求)�。如所示出的那樣�,請求可以包括標識由ADl提供的輸入值的信息,以及與請求相關(guān)聯(lián)的其他信息(未示出)���。
[0049]如在圖5B中所示�,每日時報服務(wù)器可以基于從ADl接收響應(yīng)�����,生成包括HTML文件的響應(yīng)�。如所示出的那樣,響應(yīng)可以包括與由每日時報服務(wù)器生成的HTML文檔相關(guān)聯(lián)的信息����,并且可以包括標識在請求中包括的輸入值(例如,“〈script>alert ( ‘V2’)〈/script〉”)的信息。換句話說����,如所示出的那樣,響應(yīng)可以反映由ADl在用戶名字段鍵入的輸入值(例如�,其可以指示與用戶名字段相關(guān)聯(lián)的漏洞)。如所示出的那樣�����,每日時報服務(wù)器可以向每日時報安全性設(shè)備提供響應(yīng)�。
[0050]如上所指示的,圖5A和5B僅僅作為示例提供��。其他示例是可能的并可以與相對于圖5A和5B所描述的不同�����。
[0051]圖6是修改與請求相關(guān)聯(lián)的響應(yīng)的示例處理600的流程圖��,該請求包括與包括在請求中的一個或者多個輸入值的每一個相關(guān)聯(lián)的信息�。在一些實現(xiàn)中,圖6的一個或者多個處理框可以由安全性設(shè)備240執(zhí)行����。在一些實現(xiàn)中,圖6的一個或者多個處理框可以由另一設(shè)備或者與安全性設(shè)備240分離或包括安全性設(shè)備240的一組設(shè)備(諸如服務(wù)器設(shè)備230執(zhí)行)。
[0052]如圖6中所示���,處理400可以包括從服務(wù)器設(shè)備接收對由攻擊者設(shè)備提供的請求的響應(yīng)(框610)����。例如�����,安全性設(shè)備240可以從服務(wù)器設(shè)備230接收對由攻擊者設(shè)備210提供的請求(例如���,與web應(yīng)用相關(guān)聯(lián)的請求)的響應(yīng)。在一些實現(xiàn)中����,當服務(wù)器設(shè)備230發(fā)送響應(yīng)時,安全性設(shè)備240可以接收響應(yīng)���。在一些實現(xiàn)中��,安全性設(shè)備240可以經(jīng)由網(wǎng)絡(luò)220接收響應(yīng)����。
[0053]如在圖6中進一步所示,處理400可以包括基于接收到響應(yīng)����,確定與請求相關(guān)聯(lián)的一個或者多個輸入值(框620)。例如�,安全性設(shè)備240可以基于(例如,從服務(wù)器設(shè)備230)接收到響應(yīng)來確定與請求(例如,由攻擊者設(shè)備210提供的請求)相關(guān)聯(lián)的一個或者多個輸入值��。在一些實現(xiàn)中��,當安全性設(shè)備240從服務(wù)器設(shè)備230接收到響應(yīng)時�����,安全性設(shè)備240可以確定與請求相關(guān)聯(lián)的一個或者多個輸入值����。此外,或者作為備選方案����,當安全性設(shè)備240從另一設(shè)備(例如,服務(wù)器設(shè)備230)接收信息時���,該信息指示安全性設(shè)備240可以基于一個或者多個輸入值修改響應(yīng)��,安全性設(shè)備240可以確定一個或者多個輸入值��。
[0054]在一些實現(xiàn)中����,安全性設(shè)備240可以基于包括在請求中的信息確定一個或者多個輸入值。例如�,安全性設(shè)備240可以從攻擊者設(shè)備210接收請求(例如,當安全性設(shè)備240被定位為接收請求并向服務(wù)器設(shè)備230轉(zhuǎn)發(fā)請求時)��、可以存儲一個或者多個輸入值(例如在與安全性設(shè)備240相關(guān)聯(lián)的存儲器位置中)���、以及當安全性設(shè)備240從服務(wù)器設(shè)備230接收響應(yīng)時可以確定輸入值(例如,從存儲器位置讀取一個或者多個輸入值)��。
[0055]在一些實現(xiàn)中�����,安全性設(shè)備240可以基于包括在由服務(wù)器設(shè)備230生成的響應(yīng)中的信息���,確定一個或者多個輸入值����。例如,響應(yīng)可以包括標識與請求相關(guān)聯(lián)的一個或者多個輸入值的信息����,并且安全性設(shè)備240可以基于包括在響應(yīng)中的信息來確定一個或者多個輸入值。在一些實現(xiàn)中���,(例如��,當響應(yīng)反映了由攻擊者設(shè)備210提供的輸入值時)響應(yīng)可以包括由攻擊者設(shè)備210提供的一個或者多個輸入值�,并且安全性設(shè)備240可以基于包括在響應(yīng)中的輸入值確定輸入值����。此外,或者作為備選方案����,(例如,當響應(yīng)包括一個或者多個輸入值的修改版本時)響應(yīng)可以包括與一個或者多個輸入值相關(guān)聯(lián)的信息��,并且安全性設(shè)備240可以基于與一個或者多個輸入值相關(guān)聯(lián)的信息來確定輸入值�����。在一些實現(xiàn)中��,安全性設(shè)備240可以基于從服務(wù)器設(shè)備230接收的其他信息,確定一個或者多個輸入值�。例如,安全性設(shè)備240可以向服務(wù)器設(shè)備230發(fā)送請求一個或者多個輸入值的查詢���,并且安全性設(shè)備240可以基于從服務(wù)器230接收的結(jié)果�,確定與該查詢相關(guān)聯(lián)的一個或者多個輸入值���。
[0056]在一些實現(xiàn)中���,安全性設(shè)備240可以通過執(zhí)行操作(例如,執(zhí)行程序代碼�����,等等)來確定一個或者多個輸入值���,該操作被配置為確定輸入值。例如�����,安全性設(shè)備240可以執(zhí)行程序代碼���,該程序代碼被配置為標識一個或者多個參數(shù)(例如����,包括在與請求和/或響應(yīng)相關(guān)聯(lián)的URL中),并且(例如�,當一個或者多個參數(shù)可以包括標識一個或者多個輸入值的信息時)安全性設(shè)備240可以基于與執(zhí)行程序代碼相關(guān)聯(lián)的結(jié)果,確定一個或者多個輸入值��。
[0057]如在圖6中進一步所示��,處理400可以包括修改響應(yīng)以包括與一個或者多個輸入值相關(guān)聯(lián)的信息(框630)����。例如,安全性設(shè)備240可以修改從服務(wù)器設(shè)備230接收的響應(yīng)���,以包括與一個或者多個輸入值相關(guān)聯(lián)的信息��,一個或者多個輸入值由安全性設(shè)備240確定���。在一些實現(xiàn)中,當安全性設(shè)備240確定與請求相關(guān)聯(lián)的一個或者多個輸入值時��,安全性設(shè)備240可以修改響應(yīng)�����。此外,或者作為備選方案��,當安全性設(shè)備240從另一設(shè)備(例如����,服務(wù)器設(shè)備230)接收信息時,該信息指示安全性設(shè)備240可以修改響應(yīng)��。
[0058]在一些實現(xiàn)中����,安全性設(shè)備240可以通過向響應(yīng)添加信息修改響應(yīng),該信息標識一個或者多個輸入值�����。例如��,安全性設(shè)備240可以接收包括與請求相關(guān)聯(lián)的資源(例如�����,HTML文件)的響應(yīng)��,并且安全性設(shè)備240可以向資源添加標識一個或者多個輸入值中的每一個輸入值的信息(例如���,一個或者多個文本串)(例如���,HTML文件將包括標識一個或者多個輸入值的文本)。
[0059]在一些實現(xiàn)中�,安全性設(shè)備240可以添加標識由安全性設(shè)備240確定的一個或者多個輸入值的每一個輸入值的信息。此外�,安全性設(shè)備240可以添加標識一個或者輸入值的一部分輸入值的信息(例如,安全性設(shè)備240可以添加標識一個或者多個輸入值中的第一輸入值集合的信息��,并且可以不添加標識一個或者多個輸入值中的第二輸入值集合的信息)����。
[0060]在一些實現(xiàn)中,安全性設(shè)備240可以修改響應(yīng)以包括以隨機方式標識一個或者多個輸入值的信息���。例如����,安全性設(shè)備240可以隨機選擇第一位置(例如�,包括在HTML文件中的第一位置),并且可以基于隨機選擇的第一位置,添加與第一輸入值相關(guān)聯(lián)的信息��。在該示例中����,安全性設(shè)備240可以隨機選擇第二位置(例如,包括在HTML文件中的第二位置)����,并且可以基于隨機計算的第二位置,添加與第二輸入值相關(guān)聯(lián)的信息�。此外,或者作為備選方案����,安全性設(shè)備240可以修改響應(yīng)以包括以確切方式標識一個或者多個輸入值的信息(例如,當安全性設(shè)備240存儲指示與HTML文件相關(guān)聯(lián)的位置信息時�����,該一個或者多個輸入值將在該位置被添加����,等等)。
[0061]在一些實現(xiàn)中�,安全性設(shè)備240可以通過添加匹配輸入值的信息來修改響應(yīng)以包括標識一個或者多個輸入值的信息(例如,安全性設(shè)備240可以添加由攻擊者設(shè)備210提供的一個或者多個輸入值)�����。
[0062]在一些實現(xiàn)中��,安全性設(shè)備240可以通過添加不與輸入值匹配的信息而修改響應(yīng)以包括標識一個或者多個輸入值的信息�。例如,安全性設(shè)備240可以確定輸入值(例如,與嵌在HTML文件內(nèi)的腳本相關(guān)聯(lián)的輸入值)���,并且可以修改響應(yīng)以包括標識輸入值(例如����,標識與嵌入HTML文件中的腳本相關(guān)聯(lián)的輸入值的信息)但是不與輸入值匹配(例如�����,通過去掉與執(zhí)行腳本相關(guān)聯(lián)的一個或者多個字符���、通過字符互換�,等等)的信息��。以這種方式�����,安全性設(shè)備240可以修改響應(yīng)以包括標識一個或者多個輸入值的信息,但是可以不允許攻擊者設(shè)備210利用反映的輸入值(例如�,安全性設(shè)備240可以防止攻擊者設(shè)備210嵌入腳本)。
[0063]在一些實現(xiàn)中�����,安全性設(shè)備240可以修改響應(yīng)以包括標識一個或者多個輸入值的清潔(sanitized)信息(例如���,不能被攻擊者設(shè)備210利用的信息)(例如����,安全性設(shè)備240可以通過執(zhí)行配置為清潔標識一個或者多個輸入值的信息的操作��,生成被清潔的信息)����。例如,安全性設(shè)備240可以執(zhí)行被配置為從一個或者多個輸入值去掉一個或者多個字符(例如����,〈,>���,“等)的程序代碼�,并且安全性設(shè)備240可以修改響應(yīng)以包括與一個或者多個輸入值相關(guān)聯(lián)的被清潔信息。作為另一示例��,安全性設(shè)備240可以通過在HTML標簽(例如��,多行文本標簽���、預(yù)格式化文本標簽、評論標簽�,等等)中包裹輸入值,清潔被注入的輸入值(例如���,包括腳本的輸入值)�����,該HTML標簽可以不允許輸入值被攻擊者210利用(例如�,當在HTML標簽內(nèi)部包裹腳本時��,不允許腳本執(zhí)行,等等)�。
[0064]如在圖6中進一步所示,處理400可以包括提供修改的響應(yīng)(框640)�����。例如,安全性設(shè)備240可以向攻擊者設(shè)備210提供修改的響應(yīng)���。在一些實現(xiàn)中�,當安全性設(shè)備修改響應(yīng)以包括與和請求相關(guān)聯(lián)的一個或者多個輸入值相關(guān)聯(lián)的信息時���,安全性設(shè)備240可以提供修改的響應(yīng)��。此外���,或者作為備選方案,當安全性設(shè)備240從另一設(shè)備(例如�,服務(wù)設(shè)備230,攻擊者設(shè)備210�����,等等)接收到信息時�����,該信息指示安全性設(shè)備240可以提供響應(yīng)�����。
[0065]在一些實現(xiàn)中,安全性設(shè)備240可以經(jīng)由網(wǎng)絡(luò)220向攻擊者設(shè)備210提供修改的響應(yīng)����。在一些實現(xiàn)中,安全性設(shè)備240可以提供修改的響應(yīng)��,而不提供指示安全性設(shè)備240已經(jīng)修改了響應(yīng)的信息(例如����,可能不讓攻擊者設(shè)備210意識到響應(yīng)已被修改)����。
[0066]在一些實現(xiàn)中,安全性設(shè)備240可以向攻擊者設(shè)備210提供修改的響應(yīng)����,并且攻擊者設(shè)備210可以不能標識與服務(wù)器設(shè)備230相關(guān)聯(lián)的漏洞(例如,因為響應(yīng)被修改以包括標識一個或者多個輸入值的信息�,攻擊者設(shè)備210可以不能確定包括在被修改的響應(yīng)中的一個或者多個輸入值哪個標識實際漏洞)。
[0067]盡管圖6示出了處理600的示例框���,在一些實現(xiàn)中�,處理600可以包括額外框、不同框�、更少框、或者與圖6所描繪的那些布置不同的框�。此外,或者作為備選方案����,處理600的一個或者多個框可以并行執(zhí)行。
[0068]圖7A-圖7C是涉及圖6中所示的示例處理600的示例實現(xiàn)700的圖����。出于示例實現(xiàn)700的目的,假設(shè)每日時報服務(wù)器已經(jīng)生成了對請求的響應(yīng)���,該響應(yīng)與粘貼評論到每日時報評論板相關(guān)聯(lián)���,并且該響應(yīng)反映了包括在由攻擊者設(shè)備(例如,ADl)提供的請求內(nèi)的輸入值(例如���,<script>alert ( ‘V2’)〈/script〉)�����,攻擊者設(shè)備希望標識與每日時報服務(wù)器相關(guān)聯(lián)的一個或者多個漏洞�。進一步,假設(shè)每日時報安全性設(shè)備被配置為修改由每日時報服務(wù)器生成的響應(yīng)���。
[0069]如圖7A所示����,每日時報安全性設(shè)備可以從每日時報服務(wù)器接收與ADl提供的請求相關(guān)聯(lián)的響應(yīng)��。如進一步所示�����,假設(shè)每日時報安全性設(shè)備也接收標識與ADl提供的請求相關(guān)聯(lián)的輸入值的信息�����。如所示出的那樣�����,輸入值可以包括:“〈Script>alert( ‘Vl’)〈/script〉”����、“〈script>alert( ‘V2�, )〈/script〉”����、和“〈script>alert( ‘V3�����, )〈/script〉”��。如進一步所示出的那樣�,每日時報安全性設(shè)備可以基于接收到識別來自ADl的輸入值的信息,確定輸入值���。
[0070]如圖7B所示�����,每日時報安全性設(shè)備可以通過注入被清潔的輸入值到包括在響應(yīng)中的HTML文檔中����,修改從每日時報服務(wù)器接收的響應(yīng)�����。如所示出的那樣,修改的響應(yīng)可以包括與攻擊者設(shè)備提供的輸入值中的每個輸入值相關(guān)聯(lián)的信息���。在該示例中���,每日時報安全性設(shè)備可以以隨機方式在HTML代碼體(例如,“<script>alert ( ‘VI’)〈/script>”、“〈script>alert ( ‘V2’)〈/script〉”�����、和“〈script>alert ( ‘V3�����,)〈/script〉”)中注入與三個輸入值中的每個輸入值相關(guān)聯(lián)的信息�。
[0071]如所示出的那樣,每日時報安全性設(shè)備可以通過在HTML標簽內(nèi)部包裹第一輸入值來清潔被注入的輸入值(“<script>alert ( ‘VI’)〈/script〉”)����,這使得第一輸入值(例如,HTML腳本)變成被設(shè)置為不被顯示的文本串(例如,“〈textarea style = ‘display:none ���; ’Xscript>alert(‘Vl’)〈/scriptX/textarea>”),�����。類似地�����,每日時報安全性設(shè)備可以通過在HTML標簽內(nèi)部包裹第二輸入值來清潔被注入的輸入值(“<script>alert( ‘V2’)〈/script〉”)���,這使得第二輸入值(例如���,HTML腳本)變成不被顯示的評論(例如,“〈�! 一<script>alert ( ‘V2’)〈/script〉一>”)。最后�����,每日時報安全性設(shè)備可以通過在HTML標簽內(nèi)部包裹第三輸入值來清潔被注入的輸入值(“<script>alert( ‘V3’ ) </script〉”)��,這使得第三輸入值(例如�����,HTML腳本)變成不被顯示的與格式化的文本塊(例如�����,“〈pre style = ^display:none ; J ><script>alert ( ‘V3�,)</script>〈/pre>”)。以這種方式�����,每日時報安全性設(shè)備可以以反映的輸入值可以不被ADl利用這一方式而在響應(yīng)中注入與三個輸入值中的每一個輸入值相關(guān)聯(lián)的信息�。如進一步所不,每日時報安全性設(shè)備可以向ADl提供修改的響應(yīng)��。
[0072]如圖7C所示�,ADl可以接收修改的響應(yīng),并且ADl (例如��,VScan)可以顯示指示三個輸入值中的每一個輸入值的信息���,三個輸入值與每日時報評論板相關(guān)聯(lián)并且被反映在從每日時報服務(wù)器接收的響應(yīng)中����。如進一步所示����,與ADl相關(guān)聯(lián)的黑客可以不能標識包括在每日時報評論板內(nèi)的實際漏洞(例如�,因為黑客將不知道哪個反映的輸入值指示誤報)����。
[0073]如上面所指示的����,圖7A-圖7C僅僅作為示例被提供。其他示例是可能的并且可以與相對于圖7A-圖7C所述不同�����。
[0074]本文所描述的實現(xiàn)可以允許與服務(wù)器設(shè)備相關(guān)聯(lián)的安全性設(shè)備修改響應(yīng)���,以包括與攻擊者設(shè)備所提供的一個或者多個輸入值的每一個輸入值相關(guān)聯(lián)的信息����。以這種方式��,安全性設(shè)備可以指示與攻擊者設(shè)備提供的每個輸入值相關(guān)聯(lián)的漏洞���,并且(例如���,與攻擊者設(shè)備相關(guān)聯(lián)的)黑客可以不能標識實際漏洞(例如,因為響應(yīng)將包括與一個或者多個輸入值相關(guān)聯(lián)的一個或者多個誤報)��。
[0075]上述公開內(nèi)容提供了解釋和描述,但是并不旨在排除或者限定實現(xiàn)為所公開的精確形式����。根據(jù)上面公開的內(nèi)容修改和變化是可能的,或者可以從實現(xiàn)的實際中獲得�。
[0076]如本文所用,術(shù)語部件旨在被廣泛地解釋為硬件����、固件、或者硬件與軟件的組合���。
[0077]將是顯而易見的�����,本文所述的系統(tǒng)和方法可以以圖中所示的實現(xiàn)中的軟件��、固件和硬件的許多不同形式被實現(xiàn)��。被用于實現(xiàn)這些系統(tǒng)和/或方法的實際軟件代碼或者專用控制硬件不限制實現(xiàn)��。因此�����,系統(tǒng)和/或方法的操作和行為未參照特定軟件代碼進行描述——其被理解為軟件和控制硬件可能被設(shè)計為基于本文的描述實現(xiàn)系統(tǒng)和方法�。
[0078]即使特征的特定組合在權(quán)利要求書中記載和/或在說明書中公開���,這些組合不旨在限定可能實現(xiàn)的公開。事實上���,許多這些特征可以以未在權(quán)利要求書中特別記載和/或在說明書中公開的方式進行組合�����。盡管下面所列的每個從屬權(quán)利要求可以只直接從屬于一個權(quán)利要求�,但可能實現(xiàn)的公開內(nèi)容包括將每個從屬權(quán)利要求與權(quán)利要求集中的各個權(quán)利要求結(jié)合��。
[0079] 除非這樣明確描述�,否則本文所用的元件�、行為�、或者指令不應(yīng)該解釋為關(guān)鍵的或者必不可少的。也如本文所用�,冠詞“一”和“一個”旨在包括一個或者多個項目���,并且可以與“一個或者多個”互換使用��。其中只包括一個項目時���,使用術(shù)語“一個”或者類似的語言��。進一步��,除非另外明確說明����,否則短語“基于”旨在意味著“至少部分基于”��。
【權(quán)利要求】
1.一種用于防止攻擊者設(shè)備標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞的安全性設(shè)備,包括: 一個或者多個處理器����,被配置為: 從所述服務(wù)器設(shè)備接收對請求的響應(yīng), 其中所述請求由所述攻擊者設(shè)備提供�����,并且包括多個輸入值; 基于接收到所述響應(yīng)��,確定包括在所述請求中的所述多個輸入值��; 修改所述響應(yīng)以形成被修改的響應(yīng)�����, 其中所述響應(yīng)被修改以包括與所述多個輸入值相關(guān)聯(lián)的信息����, 其中所述響應(yīng)被修改以嘗試防止所述攻擊者設(shè)備基于正被包括在所述響應(yīng)中的所述多個輸入值來標識與所述服務(wù)器設(shè)備相關(guān)聯(lián)的所述漏洞���;以及向所述攻擊者設(shè)備提供所述被修改的響應(yīng)��。
2.根據(jù)權(quán)利要求1所述的安全性設(shè)備,其中當修改所述響應(yīng)時�����,所述一個或者多個處理器被進一步配置為: 通過添加標識所述多個輸入值中的第一輸入值的信息來修改所述響應(yīng)的第一部分�����;以及 通過添加標識所述多個輸入值中的第二輸入值的信息來修改所述響應(yīng)的第二部分��。
3.根據(jù)權(quán)利要求1所述的安全性設(shè)備�����,其中當修改所述響應(yīng)時,所述一個或者多個處理器被進一步配置為: 向所述響應(yīng)添加與至少一個輸入值相關(guān)聯(lián)的信息��,從而所述響應(yīng)標識所述多個輸入值中的每一個輸入值��。
4.根據(jù)權(quán)利要求1所述的安全性設(shè)備,其中當修改所述響應(yīng)時���,所述一個或者多個處理器被進一步配置為: 選擇所述多個輸入值中的輸入值; 在所述響應(yīng)內(nèi)隨機選擇位置���;以及 在所述響應(yīng)內(nèi)隨機選擇的所述位置處插入標識被選擇的所述輸入值的信息。
5.根據(jù)權(quán)利要求1所述的安全性設(shè)備��,其中當修改所述響應(yīng)時�,所述一個或者多個處理器被進一步配置為: 選擇所述多個輸入值中的輸入值; 基于與被選擇的所述輸入值相關(guān)聯(lián)的信息����,在所述響應(yīng)內(nèi)選擇位置�����; 在所述響應(yīng)內(nèi)被選擇的所述位置處,插入標識被選擇的所述輸入值的信息����。
6.根據(jù)權(quán)利要求1所述的安全性設(shè)備�����,其中所述一個或者多個處理器被進一步配置為: 確定與由所述攻擊者設(shè)備提供的所述多個輸入值中的輸入值匹配的信息�;并且 其中�,當修改所述響應(yīng)時����,所述一個或者多個處理器進一步用于: 通過添加與所述輸入值匹配的所述信息來修改所述響應(yīng)�。
7.根據(jù)權(quán)利要求1所述的安全性設(shè)備,其中與多個輸入值相關(guān)聯(lián)的所述信息包括: 第一部分信息和第二部分信息����;并且 其中所述一個或者多個處理器進一步用于: 確定所述第一部分信息將不被包括在所述響應(yīng)中; 確定所述第二部分信息將被包括在所述響應(yīng)中����;以及 將所述第二部分信息添加到所述響應(yīng)。
8.一種用于防止攻擊者設(shè)備標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞的系統(tǒng)�����,所述系統(tǒng)包括: 用于從所述服務(wù)器設(shè)備接收與由所述攻擊者設(shè)備提供的請求相關(guān)聯(lián)的響應(yīng)的裝置����, 其中所述請求包括輸入集; 用于獲取標識包括在所述請求中的所述輸入集的信息的裝置��; 用于修改所述響應(yīng)以包括與所述輸入集中的多個輸入相關(guān)聯(lián)的信息的裝置�, 其中所述響應(yīng)被修改以嘗試防止所述攻擊者設(shè)備接收基于正被包括在被修改的所述響應(yīng)中的所述輸入集中的所述多個輸入來標識與所述服務(wù)器設(shè)備相關(guān)聯(lián)的所述漏洞的信息����;以及 用于向所述攻擊者設(shè)備提供被修改的所述響應(yīng)的裝置。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)����,其中所述用于修改所述響應(yīng)的裝置包括: 用于通過添加標識包括在所述輸入集中的第一輸入的信息來修改所述響應(yīng)的第一部分的裝置���;以及 用于通過添加標識包括在所述輸入集中的第二輸入的信息來修改所述響應(yīng)的第二部分的裝置��。
10.根據(jù)權(quán)利要求8所述的系統(tǒng)���,其中所述用于修改所述響應(yīng)的裝置包括: 用于修改所述響應(yīng)以包括標識包括在所述輸入集中的每一個輸入的信息的裝置�����。
11.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述用于修改所述響應(yīng)的裝置包括: 用于選擇包括在所述輸入集中的具體輸入的裝置����; 用于在所述響應(yīng)內(nèi)隨機選擇位置的裝置;以及 用于在所述響應(yīng)內(nèi)隨機選擇的所述位置處插入標識所述具體輸入的信息的裝置�����。
12.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中所述用于修改所述響應(yīng)的裝置包括: 用于選擇包括在所述輸入集中的具體輸入的裝置�����; 用于基于與被選擇的所述輸入相關(guān)聯(lián)的信息,在所述響應(yīng)內(nèi)選擇位置的裝置��; 用于在所述響應(yīng)內(nèi)被選擇的所述位置處插入標識所述具體輸入的信息的裝置�����。
13.根據(jù)權(quán)利要求8所述的系統(tǒng),進一步包括: 用于確定與包括在由所述攻擊者設(shè)備提供的所述輸入集中的具體輸入匹配的信息的裝置�;并且 其中�����,所述用于修改所述響應(yīng)的裝置包括: 用于通過添加與所述具體輸入匹配的所述信息來修改所述響應(yīng)的裝置��。
14.根據(jù)權(quán)利要求8所述的系統(tǒng)���,其中與所述多個輸入相關(guān)聯(lián)的所述信息包括: 第一部分信息和第二部分信息���;并且 其中所述系統(tǒng)進一步包括: 用于確定所述第一部分信息將不被包括在所述響應(yīng)中的裝置; 用于確定所述第二部分信息將被包括在所述響應(yīng)中的裝置����;以及 用于向所述響應(yīng)添加所述第二部分信息的裝置。
15.一種用于防止攻擊者設(shè)備標識與服務(wù)器設(shè)備相關(guān)聯(lián)的漏洞的方法��,包括: 由安全性設(shè)備接收對請求的響應(yīng)��, 其中所述請求由所述攻擊者設(shè)備向所述服務(wù)器設(shè)備提供并且包括輸入值�, 其中所述輸入值由所述攻擊者設(shè)備提供���, 其中所述響應(yīng)由所述服務(wù)器設(shè)備提供����; 由所述安全性設(shè)備確定包括在所述請求中的所述輸入值���; 由所述安全性設(shè)備修改所述響應(yīng)以包括所述輸入值中的多個輸入值����;以及由所述安全性設(shè)備提供被修改的所述響應(yīng),以嘗試使得所述攻擊者設(shè)備不能基于正被包括在所述響應(yīng)中的所述輸入值中的所述多個輸入值來標識與所述服務(wù)器設(shè)備相關(guān)聯(lián)的所述漏洞����。
16.根據(jù)權(quán)利要求15所述的方法,其中修改所述響應(yīng)進一步包括: 通過添加標識所述輸入值的第一輸入值的信息來修改所述響應(yīng)的第一部分���;以及 通過添加標識所述輸入值的第二輸入值的信息來修改所述響應(yīng)的第二部分����。
17.根據(jù)權(quán)利要求15所述的方法�,其中修改所述響應(yīng)進一步包括: 選擇所述輸入值中的輸入值���; 在所述響應(yīng)內(nèi)隨機選擇位置�;以及 在所述響應(yīng)內(nèi)隨機選擇的所述位置處�����,插入標識被選擇的所述輸入值的信息�����。
18.根據(jù)權(quán)利要求15所述的方法����,其中修改所述響應(yīng)進一步包括: 選擇所述輸入值中的輸入值��; 基于與被選擇的所述輸入值相關(guān)聯(lián)的信息����,在所述響應(yīng)內(nèi)選擇位置�;以及 在所述響應(yīng)內(nèi)被選擇的所述位置處��,插入標識被選擇的所述輸入值的信息��。
19.根據(jù)權(quán)利要求15所述的方法,進一步包括: 確定與由所述攻擊者設(shè)備提供的所述輸入值中的輸入值匹配的信息�;并且 其中修改所述響應(yīng)進一步包括: 通過添加與所述輸入值匹配的所述信息來修改所述響應(yīng)�。
20.根據(jù)權(quán)利要求15所述的方法���,其中所述多個輸入值包括: 第一部分信息和第二部分信息;并且 其中所述方法進一步包括: 確定所述第一部分信息將不被包括在所述響應(yīng)中�����; 確定所述第二部分信息將被包括在所述響應(yīng)中����;以及 向所述響應(yīng)添加所述第二部分信息����。
【文檔編號】H04L29/06GK104519045SQ201410514476
【公開日】2015年4月15日 申請日期:2014年9月29日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】K·亞當斯 申請人:瞻博網(wǎng)絡(luò)公司