一種保護Web應用安全的url擬態(tài)方法
【技術領域】
[0001]本發(fā)明涉及計算機網絡安全技術領域，尤其涉及web應用安全領域。
【背景技術】
[0002]隨著Web2.0、社交網絡、微博等等一系列新型的互聯(lián)網產品的誕生，基于Web環(huán)境的互聯(lián)網應用越來越廣泛，企業(yè)信息化的過程中各種應用都架設在Web平臺上，Web業(yè)務的迅速發(fā)展也引起黑客們的強烈關注，接踵而至的就是Web安全威脅的凸顯，黑客利用網站操作系統(tǒng)的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。而目前常見的保護web應用安全的手段有防火墻、IDS、模式識別、URL過濾等技術，但這些技術都很被動，只有當發(fā)生某種入侵事件后再針對這種入侵采取相應的保護措施，如果出現(xiàn)新的攻擊手段往往就很難防住。

【發(fā)明內容】

[0003]本發(fā)明的目的在于針對現(xiàn)有網絡安全技術的不足，提出了一種保護Web應用安全的url擬態(tài)方法。
[0004]本發(fā)明的目的是通過以下技術法案來實現(xiàn)的:一種保護Web應用安全的url擬態(tài)方法，包括以下步驟:
[0005](I)當客戶端向后臺Web服務器發(fā)送Web請求時，網關對后臺Web服務器向客戶端返回的Web頁面中的url進行動態(tài)變換，具體包括以下子步驟:
[0006](1.1)查找返回的Web頁面中所有的鏈接，找出具有向后臺服務器傳遞參數的url鏈接；
[0007](1.2)將步驟1.1找出的url鏈接做動態(tài)替換，保存當前所做的替換映射；
[0008](1.3)對返回的Web頁面中的所有form表單中的act1n字段做與步驟1.2中同樣的替換；
[0009](2)配置步驟1.2和步驟1.3中替換后的url允許訪問后臺Web服務器的次數；
[0010](3)當客戶端再次向后臺Web服務器發(fā)送Web請求時，網關對傳入的web請求進行處理，替換為后臺Web服務器真實的地址，具體包括以下子步驟:
[0011](3.1)查找傳入的url請求有沒有做過步驟I所述的替換；如果沒有，那么直接放行，不對該url做任何處理；如果有，則執(zhí)行步驟3.2 ;
[0012](3.2)分析替換后的url已經訪問過后臺Web服務器的次數；如果沒有超過步驟2配置的每個url允許訪問后臺Web服務器的次數，那么將該url替換為后臺web服務器真實的地址，通過該真實地址訪問后臺Web服務器；如果超過了步驟2配置的每個url允許訪問后臺Web服務器的次數，那么就拒絕該url請求。
[0013]本發(fā)明的有益效果是:由于本法明提出了一種url擬態(tài)防御思想，對URL進行實時動態(tài)變換，導致攻擊者無法對固定的url進行攻擊探測，極大了保護了后臺web應用的安全，化被動為主動，并且能夠防御住新類型攻擊。
【附圖說明】
[0014]圖1是網絡架構的示意圖。
[0015]圖2是url擬態(tài)防御方法的流程圖，(a)為服務器向客戶端返回時url擬態(tài)處理過程，(b)為客戶端向服務器發(fā)起請求時url擬態(tài)處理過程。
具體實施方案
[0016]下面結合附圖詳細描述本發(fā)明，本發(fā)明的目的和效果將變得更加明顯。
[0017]本發(fā)明是一種保護Web應用安全的url擬態(tài)方法，如圖1所示，該方法在網關中實現(xiàn)，其中具有URL擬態(tài)功能的網關是用nginx做一個反向代理。而URL擬態(tài)功能可以用nginx的http模塊來實現(xiàn)。具體包括以下步驟:
[0018]步驟1:如圖2 (a)所示，當客戶端向后臺Web服務器發(fā)送Web請求時，網關對后臺Web服務器向客戶端返回的Web頁面中的url進行動態(tài)變換，具體包括以下子步驟:
[0019](1.1)查找返回的web頁面中所有的鏈接，找出具有向后臺服務器傳遞參數的url鏈接。
[0020](1.2)找出該類型鏈接后，比如存在如下鏈接:
[0021]<a href = ”/web/test/page.php ? id = l，，>page〈/a>:^C.php ?替換成一串 6位數的數字，該串數字是系統(tǒng)取得當前時間的秒數(格林威治時間到現(xiàn)在的時間所過的秒數)的后六位。并且保存當前所做的替換映射。
[0022](1.3)把返回的web頁面中的所有form表單中的aciton字段做與步驟(1.2)中一樣的替換。
[0023]步驟2:配置步驟(1.2)和步驟(1.3)中替換后的url允許訪問后臺Web服務器的次數，比如三次或者五次等。
[0024]步驟3:如圖2(b)所示，當客戶端再次向后臺Web服務器發(fā)送Web請求時，網關對傳入的Web請求進行處理，替換為后臺Web服務器真實的地址。
[0025]在圖1中，客戶端傳來的請求首先要通過具有url擬態(tài)功能的網關，在網關中分析客戶端傳來的請求，進行下面的處理過程。
[0026](3.1)查找傳入的url請求有沒有做過步驟I所述的替換；如果沒有，那么直接放行，不對該url做任何處理；如果有，則執(zhí)行步驟(3.2);
[0027](3.2)分析替換后的url已經訪問過后臺Web服務器的次數；如果沒有超過步驟2配置的每個url允許訪問后臺Web服務器的次數，那么將該url替換為后臺Web服務器真實的地址，通過該真實地址訪問后臺Web服務器；如果超過了步驟2配置的每個url允許訪問后臺Web服務器的次數，那么就拒絕該url請求。
[0028]本發(fā)明將標識著后臺web服務器上的資源入口 URL做了一個動態(tài)變化的過程，因為入口不斷的在變化，所以黑客想用工具針對某個資源入口做攻擊測試的時候就會被阻斷。這樣，即使后臺web應用存在漏洞，但黑客也不能發(fā)現(xiàn)，極大的保護了后臺web應用的安全。
【主權項】
1.一種保護Web應用安全的url擬態(tài)方法，其特征在于，包括以下步驟: (1)當客戶端向后臺Web服務器發(fā)送Web請求時，網關對后臺Web服務器向客戶端返回的Web頁面中的url進行動態(tài)變換，具體包括以下子步驟: (1.1)查找返回的Web頁面中所有的鏈接，找出具有向后臺服務器傳遞參數的url鏈接; (1.2)將步驟1.1找出的url鏈接做動態(tài)替換，保存當前所做的替換映射； (1.3)對返回的Web頁面中的所有form表單中的act1n字段做與步驟1.2中同樣的替換； (2)配置步驟1.2和步驟1.3中替換后的url允許訪問后臺Web服務器的次數； (3)當客戶端再次向后臺Web服務器發(fā)送Web請求時，網關對傳入的web請求進行處理，替換為后臺Web服務器真實的地址，具體包括以下子步驟: (3.1)查找傳入的url請求有沒有做過步驟I所述的替換；如果沒有，那么直接放行，不對該url做任何處理；如果有，則執(zhí)行步驟3.2 ; (3.2)分析替換后的url已經訪問過后臺Web服務器的次數；如果沒有超過步驟2配置的每個url允許訪問后臺Web服務器的次數，那么將該url替換為后臺web服務器真實的地址，通過該真實地址訪問后臺Web服務器；如果超過了步驟2配置的每個url允許訪問后臺Web服務器的次數，那么就拒絕該url請求。
【專利摘要】本發(fā)明公開了一種保護Web應用安全的url擬態(tài)方法，該方法對標識后臺Web服務器資源的url進行動態(tài)變化，使之對外表現(xiàn)變化后的url，隱藏真實的url，并且可以配置每一個變化后的url的有效訪問次數。應用該方法可以使攻擊者無法掌握Web服務器上的資源的真正入口，從而不能隨意進行攻擊嘗試，從而保護Web應用的安全。
【IPC分類】H04L29/06, H04L29/08
【公開號】CN104954384
【申請?zhí)枴緾N201510357159
【發(fā)明人】吳春明, 申旺強, 高文
【申請人】浙江大學
【公開日】2015年9月30日
【申請日】2015年6月24日