一種Web應(yīng)用的安全防護(hù)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種Web應(yīng)用的安全防護(hù)方法及系統(tǒng)，該方法及系統(tǒng)首先由管理員在Web客戶端根據(jù)需要配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件，并將防護(hù)規(guī)則文件設(shè)置在服務(wù)器的安全防護(hù)模塊中，設(shè)置為全局過濾器；在Web應(yīng)用服務(wù)器接收用戶的Web應(yīng)用訪問請(qǐng)求時(shí)，安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則文件比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。本發(fā)明所述的方法及系統(tǒng)，可以根據(jù)需要防護(hù)所有Web應(yīng)用，提高了Web訪問的安全性。將Web應(yīng)用訪問的攔截動(dòng)作從應(yīng)用程序轉(zhuǎn)移到了代理服務(wù)服務(wù)器中，避免了應(yīng)用程序的重復(fù)開發(fā)或遺漏攔截，降低了成本。
【專利說明】一種Web應(yīng)用的安全防護(hù)方法及系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域，具體涉及Web應(yīng)用安全【技術(shù)領(lǐng)域】中一種部署在Web服務(wù)器上的Web應(yīng)用的安全防護(hù)方法及系統(tǒng)。

【背景技術(shù)】
[0002]Web應(yīng)用系統(tǒng)就是利用各種動(dòng)態(tài)Web技術(shù)開發(fā)的，基于B/S (瀏覽器/服務(wù)器)模式的事務(wù)處理系統(tǒng)。當(dāng)前，Web安全威脅愈演愈烈，對(duì)于用戶而言，Web安全即是一場(chǎng)災(zāi)難。針對(duì)Web的攻擊已經(jīng)成為全球安全領(lǐng)域最大的挑戰(zhàn)，主要原因有如下兩點(diǎn):
[0003]1.企業(yè)業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線。而由于資金、進(jìn)度、意識(shí)等方面的影響，這些應(yīng)用沒有進(jìn)行充分安全評(píng)估。
[0004]2.針對(duì)Web的攻擊會(huì)隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，會(huì)導(dǎo)致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這種攻擊。
[0005]全球知名的Web安全與數(shù)據(jù)庫安全研究組織OWASP提供的報(bào)告顯示，目前對(duì)Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是SQL注入攻擊和跨站腳本(XSS)攻擊。
[0006]針對(duì)Web安全。傳統(tǒng)的做法一:防火墻，防火墻可以過濾掉非業(yè)務(wù)端口的數(shù)據(jù)，防止非Web服務(wù)出現(xiàn)的漏洞，目前市場(chǎng)上可選擇的防火墻品牌也較多。但對(duì)于目前大量出現(xiàn)在應(yīng)用層面上的SQL注入和XSS漏洞，防火墻無法過濾，因而無法保護(hù)Web服務(wù)器所面臨的應(yīng)用層威脅。傳統(tǒng)做法二:在單個(gè)Web應(yīng)用中加入防止攻擊的代碼，比如對(duì)用戶的輸入進(jìn)行過濾等等。這樣做的缺點(diǎn)是只能保護(hù)該應(yīng)用自身，每個(gè)應(yīng)用都需要單獨(dú)做一套保護(hù)措施。另外可擴(kuò)展性很差，如果要防止其他的攻擊方式，還需要修改代碼。重新編譯，打補(bǔ)丁。對(duì)于生產(chǎn)系統(tǒng)，會(huì)帶來很大的維護(hù)成本。


【發(fā)明內(nèi)容】

[0007]針對(duì)現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明的目的在于提供一種Web應(yīng)用的安全防護(hù)方法及系統(tǒng)，提高Web應(yīng)用防護(hù)的安全性。
[0008]為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下:
[0009]一種Web應(yīng)用的安全防護(hù)方法，包括以下步驟:
[0010](I)在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與url路徑綁定規(guī)則綁定；
[0011](2)將所述的防護(hù)規(guī)則文件設(shè)置在安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；所述的安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中；
[0012](3) Web應(yīng)用服務(wù)器接收用戶的Web應(yīng)用訪問請(qǐng)求；
[0013](4)安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。
[0014]一種Web應(yīng)用的安全防護(hù)系統(tǒng)，包括:
[0015]防護(hù)規(guī)則設(shè)置模塊:用于在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與路徑綁定規(guī)則綁定；
[0016]防護(hù)規(guī)則加載模塊:用于將所述的防護(hù)規(guī)則文件加載到安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；所述的安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中；
[0017]Web請(qǐng)求接收模塊:用于接收用戶的Web應(yīng)用訪問請(qǐng)求；
[0018]Web請(qǐng)求處理模塊:用于安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。
[0019]本發(fā)明的有益效果在于:本發(fā)明所述的方法將Web應(yīng)用訪問的攔截動(dòng)作從應(yīng)用程序轉(zhuǎn)移到了 Web服務(wù)器中，用于訪問Web應(yīng)用時(shí),所有訪問Web服務(wù)器(Web服務(wù)器為Web應(yīng)用服務(wù)器)或者Web服務(wù)器所指向的應(yīng)用服務(wù)器(Web服務(wù)器為代理服務(wù)器)的應(yīng)用都會(huì)經(jīng)過過濾，提高了 web訪問的安全性。此外，將Web應(yīng)用訪問的攔截動(dòng)作從應(yīng)用程序轉(zhuǎn)移到了代理服務(wù)服務(wù)器中，避免了應(yīng)用程序的重復(fù)開發(fā)或遺漏攔截，降低了成本。

【專利附圖】

【附圖說明】
[0020]圖1為本發(fā)明一種Web應(yīng)用的安全防護(hù)系統(tǒng)的結(jié)構(gòu)框圖；
[0021]圖2為本發(fā)明一種Web應(yīng)用的安全防護(hù)方法的流程圖。

【具體實(shí)施方式】
[0022]下面結(jié)合說明書附圖與【具體實(shí)施方式】對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明。
[0023]本發(fā)明的主要思想:本發(fā)明是一種部署在Web服務(wù)器上的全局過濾器，系統(tǒng)管理員可以預(yù)先通過Web客戶端程序配置自己需要的規(guī)則，規(guī)則配置好后啟動(dòng)防護(hù)模塊所在的服務(wù)器。啟動(dòng)后，防護(hù)模塊就可以正常工作了。其他用戶訪問配置要攔截的應(yīng)用時(shí)，就會(huì)先通過防護(hù)模塊進(jìn)行過濾。防護(hù)模塊根據(jù)預(yù)先配置好的規(guī)則與用戶的請(qǐng)求以及響應(yīng)做匹配。如果匹配成功，則認(rèn)為是不正常的請(qǐng)求或攻擊，執(zhí)行配置好的動(dòng)作處理，比如拒絕訪問，重寫請(qǐng)求數(shù)據(jù)等等。如果匹配不成功，則放行該請(qǐng)求或響應(yīng)給真正的Web應(yīng)用處理。有效地保護(hù)了 Web應(yīng)用，防止其被惡意攻擊及信息泄露。
[0024]圖1示出了本發(fā)明一種Web應(yīng)用的安全防護(hù)系統(tǒng)的結(jié)構(gòu)框圖，該系統(tǒng)包括防護(hù)規(guī)則設(shè)置模塊11、防護(hù)規(guī)則加載模塊12、Web請(qǐng)求接收模塊13和Web請(qǐng)求處理模塊14，其中:
[0025]防護(hù)規(guī)則設(shè)置模塊11用于在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與路徑綁定規(guī)則綁定；
[0026]防護(hù)規(guī)則加載模塊12用于將所述的防護(hù)規(guī)則文件加載到安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；所述的安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中；
[0027]Web請(qǐng)求接收模塊13用于接收用戶的Web應(yīng)用訪問請(qǐng)求；
[0028]Web請(qǐng)求處理模塊14用于安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。該模塊包括用于查看Web應(yīng)用訪問請(qǐng)求的url路徑是否進(jìn)行了配置，若是則進(jìn)入規(guī)則匹配單元，若否則允許Web應(yīng)用訪問的url配置查看單元，和用于將請(qǐng)求數(shù)據(jù)與規(guī)則進(jìn)行比較，查看請(qǐng)求數(shù)據(jù)與規(guī)則是否匹配，如是則攔截Web應(yīng)用訪問，若否則允許Web應(yīng)用訪問的規(guī)則匹配單元。
[0029]圖2示出了基于圖1中安全防護(hù)系統(tǒng)的一種Web應(yīng)用的安全防護(hù)方法的流程圖，該方法主要包括以下步驟:
[0030]步驟S21:在Web客戶端配置防護(hù)規(guī)則；
[0031]在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與url路徑綁定規(guī)則綁定。系統(tǒng)管理員可以預(yù)先通過Web客戶端配置自己需要的url路徑綁定規(guī)則，通過Web客戶端程序進(jìn)行配置，具體如下:
[0032]1、配置需要攔截檢查的url路徑，包括:
[0033]I)配置授權(quán)主機(jī)名hostname和文件路徑節(jié)點(diǎn)filepathnode (可以配置多級(jí)路徑)，授權(quán)hostname —般為服務(wù)器名稱或者IP地址。
[0034]舉例:配置的需要攔截檢查的url為:
[0035]http://192.168.1.1/myApp/test/test, asp
[0036]其中，IP地址為192.168.1.1,需要訪問的文件路徑為myApp/test/test.asp。
[0037]2)創(chuàng)建url路徑綁定規(guī)則。url路徑綁定規(guī)則包括規(guī)則名稱(通過名稱可以知道該規(guī)則可以攔截哪種攻擊)、規(guī)則語法(可以定義是否匹配正則表達(dá)式，是否與某個(gè)值相等，等等)、動(dòng)作處理(可以包括寫日志、拒絕訪問、重寫請(qǐng)求、執(zhí)行某個(gè)命令等等)。其中，動(dòng)作處理可以定義為很多種，一般可以分為兩大類，黑名單動(dòng)作處理和白名單動(dòng)作處理，黑名單動(dòng)作處理包括拒絕訪問、寫日志、重寫請(qǐng)求數(shù)據(jù)；白名單動(dòng)作包括執(zhí)行請(qǐng)求命令。
[0038]2、綁定規(guī)則
[0039]給預(yù)先創(chuàng)建的url路徑的組成部分綁定定義好的url路徑綁定規(guī)則
[0040]url路徑可綁定規(guī)則的部分有:
[0041]Request:method;vers1n;url;queryString;queryStrng parameter;body;bodyparameter;header;header parameter;
[0042]Response: response status;body;
[0043]在將url的組成部分與url路徑綁定規(guī)則綁定時(shí)，可以綁定一個(gè)以上的規(guī)則，也可以綁定規(guī)則組，用戶可以根據(jù)需要進(jìn)行設(shè)置。上述可綁定的部分均是web領(lǐng)域公知的詞匯，
如Request是指......請(qǐng)求，即客服端發(fā)來的請(qǐng)求；Method是指......HTML〈form〉標(biāo)簽的屬性，
規(guī)定如何發(fā)送表單數(shù)據(jù)Wers1n是指……HTML標(biāo)簽，設(shè)置或獲取管理當(dāng)前文檔的文檔類型定義版本response指響應(yīng)，是服務(wù)器做出的響應(yīng)；在此不再一一描述。上述列舉的這些部分也僅是舉例說明這些部分可以綁定規(guī)則，但不限于這些部分，用于可以根據(jù)需要選擇更多可以綁定規(guī)則的部分。本實(shí)施方式中將url路徑與url路徑綁定規(guī)則綁定實(shí)際上指的是將url路徑與路徑綁定規(guī)則“匹配”的一個(gè)過程，匹配的方法可以是正則表達(dá)式等一些現(xiàn)有技術(shù)。
[0044]步驟S22:將防護(hù)規(guī)則文件設(shè)置在安全防護(hù)模塊；
[0045]通過Web服務(wù)器的設(shè)置，將步驟S21中設(shè)置的防護(hù)規(guī)則文件設(shè)置在安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；其中，安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中。也就是說安全防護(hù)模塊可以單獨(dú)部署在一臺(tái)web服務(wù)器上，將該服務(wù)器作為代理服務(wù)器使用，也可以將安全防護(hù)模塊與Web應(yīng)用部署在同一臺(tái)服務(wù)器上，即將安全防護(hù)模塊部署在Web應(yīng)用服務(wù)器上。工作時(shí)，啟動(dòng)安全防護(hù)模塊所在的服務(wù)器后，會(huì)先加載步驟S21中配置好的防護(hù)規(guī)則文件，將文件加載到內(nèi)存中。本發(fā)明的安全防護(hù)模塊為代理服務(wù)器時(shí)，用戶通過該代理服務(wù)器向Web應(yīng)用服務(wù)器發(fā)起Web應(yīng)用訪問請(qǐng)求。
[0046]本發(fā)明中所述的安全防護(hù)模塊，，其概念范圍甚廣，指一切可提供網(wǎng)絡(luò)安全保護(hù)功能的系統(tǒng)或裝置，如入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)等等，對(duì)本領(lǐng)域技術(shù)人員是說，安全防護(hù)模塊是常用的技術(shù)手段。安全防護(hù)規(guī)則文件可設(shè)置在其它產(chǎn)品或系統(tǒng)的安全防護(hù)模塊中，也可以單獨(dú)部署，通過Web服務(wù)等方式提供安全防護(hù)服務(wù)，實(shí)際上也構(gòu)成了一個(gè)安全防護(hù)模塊，將安全防護(hù)規(guī)則文件設(shè)置在產(chǎn)品或系統(tǒng)的安全防護(hù)模塊中，或者單獨(dú)部署的方式對(duì)本領(lǐng)域技術(shù)人員來說也是常用的技術(shù)手段。
[0047]這樣，通過Web服務(wù)器的設(shè)置，將安全防護(hù)模塊部署為全局的過濾器，所有訪問這臺(tái)Web應(yīng)用服務(wù)器上或者由該代理服務(wù)器指向的服務(wù)器上的應(yīng)用都會(huì)先經(jīng)過安全防護(hù)模塊的過濾。本實(shí)施方式中優(yōu)選的將安全防護(hù)模塊部署在一臺(tái)Web服務(wù)器上，單獨(dú)部署的好處是可以有效地節(jié)省Web應(yīng)用服務(wù)器的資源，減少壓力。
[0048]步驟S23 =Web應(yīng)用服務(wù)器接收用戶的Web應(yīng)用訪問請(qǐng)求；
[0049]步驟S24:將請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則文件比較，根據(jù)比較結(jié)果處理Web應(yīng)用訪問。
[0050]Web客戶端向Web應(yīng)用服務(wù)器發(fā)送Web應(yīng)用訪問請(qǐng)求，Web服務(wù)器的安全防護(hù)模塊攔截該訪問請(qǐng)求，將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則文件比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。所述的攔截Web應(yīng)用訪問是指執(zhí)行黑名單動(dòng)作，所述的允許Web應(yīng)用訪問是指執(zhí)行白名單動(dòng)作。
[0051]Web服務(wù)器將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則文件比較的具體方式為:
[0052]I)查看Web應(yīng)用訪問請(qǐng)求的url路徑是否進(jìn)行了配置，若是則進(jìn)入步驟2)，若否則允許Web應(yīng)用訪問；訪問Web應(yīng)用的請(qǐng)求過來后，由安全防護(hù)模塊攔截，然后將訪問請(qǐng)求的url路徑與步驟S21中配置的需要攔截檢查的url路徑進(jìn)行比較，如果沒有配置該url，則放過該請(qǐng)求到真正的應(yīng)用；如果匹配上，則進(jìn)行步驟2)；
[0053]2)將將請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則進(jìn)行比較，查看請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則是否匹配，如是則攔截Web應(yīng)用訪問，若否則允許Web應(yīng)用訪問。在將請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則比較前，首先將Web應(yīng)用訪問請(qǐng)求進(jìn)行解析，將請(qǐng)求數(shù)據(jù)轉(zhuǎn)換為url路徑綁定規(guī)則匹配需要的標(biāo)準(zhǔn)格式。做轉(zhuǎn)換的目的只要是為了應(yīng)對(duì)不同的Web server所產(chǎn)生的請(qǐng)求數(shù)據(jù)不一致的情況。即不同的Web server對(duì)規(guī)則匹配模塊是透明的。請(qǐng)求數(shù)據(jù)轉(zhuǎn)換主要包括url解碼和解碼后的拆分等過程，由于包含不安全字符、中文、保留字等原因，url通常會(huì)進(jìn)行編碼，url解碼則是還原url的過程，url解碼為現(xiàn)有技術(shù)，還原后的url將進(jìn)一步被拆分為scheme (通訊協(xié)議)、host (主機(jī))、port (端口號(hào))、path (路徑)、query (查詢)、fragment (信息片段)等部分,對(duì)可能被攻擊的部分綁定規(guī)則進(jìn)行安全防護(hù),該過程均現(xiàn)有技術(shù)。轉(zhuǎn)換后，將轉(zhuǎn)換后的用戶請(qǐng)求數(shù)據(jù)與加載到內(nèi)存的url路徑綁定規(guī)則進(jìn)行匹配。如果匹配不成功，則認(rèn)為是正常的，放過該請(qǐng)求到真正的應(yīng)用。如果匹配成功，則進(jìn)行下一步的動(dòng)作處理。動(dòng)作處理可以定義為多種，主要分為兩大類，白名單和黑名單。白名單的動(dòng)作處理主要是Pass，也可以加Log。即匹配成功后直接放過請(qǐng)求，跳過后面的規(guī)則匹配。對(duì)于黑名單，一般定義為deny。即如果黑名單匹配成功，則拒絕訪問，并打日志。還可以定義為rewrite，即過濾危險(xiǎn)字符，改寫用戶的請(qǐng)求后再放到真正的應(yīng)用。
[0054]本發(fā)明有兩個(gè)主要優(yōu)點(diǎn):
[0055]一、一次部署,可以保護(hù)Web server上的所有Web應(yīng)用，只需要在客戶端Web程序中配置相應(yīng)的url即可。
[0056]二、管理員可以配置要檢查請(qǐng)求或響應(yīng)哪些部分，也可以配置要攔截哪些請(qǐng)求。同時(shí)也可以自定義正則表達(dá)式或者檢查方式，只要符合規(guī)則語法規(guī)范即可。方便靈活。
[0057]本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
[0058]下面結(jié)合具體實(shí)施例對(duì)本發(fā)明進(jìn)行進(jìn)一步的說明。
[0059]實(shí)施例
[0060]本實(shí)施例以包含用戶輸入?yún)?shù)的url防護(hù)為例，其主要步驟包括:
[0061]步驟1:配置防護(hù)規(guī)則；
[0062]例如，為防止在輸入?yún)?shù)中包含可能產(chǎn)生危害的SQL命令，可以創(chuàng)建如下的防護(hù)規(guī)則文件 QuerystringRule.json:
[0063]

【權(quán)利要求】
1.一種Web應(yīng)用的安全防護(hù)方法，包括以下步驟: (1)在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與url路徑綁定規(guī)則綁定； (2)將所述的防護(hù)規(guī)則文件設(shè)置在安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；所述的安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中； (3)Web應(yīng)用服務(wù)器接收用戶的Web應(yīng)用訪問請(qǐng)求； (4)安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與配置的防護(hù)規(guī)則比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。
2.如權(quán)利要求1所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟(1)中，所述的url路徑綁定規(guī)則包括規(guī)則名稱、規(guī)則語法和動(dòng)作處理。
3.如權(quán)利要求2所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:所述的規(guī)則語法包括是否匹配正則表達(dá)式和是否與設(shè)定參數(shù)值相等；所述的動(dòng)作處理包括黑名單動(dòng)作處理和白名單動(dòng)作處理兩大類，黑名單動(dòng)作處理包括拒絕訪問、寫日志、重寫請(qǐng)求數(shù)據(jù)；白名單動(dòng)作包括執(zhí)行請(qǐng)求命令。
4.如權(quán)利要求1至3之一所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟(1)中，將url路徑與url路徑綁定規(guī)則綁定是指將url路徑的組成部分與url路徑綁定規(guī)則綁定。
5.如權(quán)利要求4所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟(2)中，所述安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器時(shí)，用戶通過代理服務(wù)器向Web應(yīng)用服務(wù)器發(fā)起Web應(yīng)用訪問請(qǐng)求。
6.如權(quán)利要求4所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟(4)中，安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件比較的具體方式為: 1)查看Web應(yīng)用訪問請(qǐng)求的url路徑是否進(jìn)行了配置，若是則進(jìn)入步驟2)，若否則允許Web應(yīng)用訪問； 2)將請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則進(jìn)行比較，查看請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則是否匹配，若是則攔截Web應(yīng)用訪問，若否則允許Web應(yīng)用訪問。
7.如權(quán)利要求6所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟2)中，將請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則進(jìn)行比較前，首先解析Web應(yīng)用訪問請(qǐng)求，將請(qǐng)求數(shù)據(jù)轉(zhuǎn)換為url路徑綁定規(guī)則匹配需要的標(biāo)準(zhǔn)格式。
8.如權(quán)利要求7所述的一種Web應(yīng)用的安全防護(hù)方法，其特征在于:步驟(4)中，所述的攔截Web應(yīng)用訪問是指執(zhí)行黑名單動(dòng)作，所述的允許Web應(yīng)用訪問是指執(zhí)行白名單動(dòng)作。
9.一種Web應(yīng)用的安全防護(hù)系統(tǒng)，包括: 防護(hù)規(guī)則設(shè)置模塊:用于在Web客戶端配置防護(hù)規(guī)則，形成防護(hù)規(guī)則文件；所述的配置防護(hù)規(guī)則是指創(chuàng)建需要攔截檢查的url路徑和創(chuàng)建url路徑綁定規(guī)則，并將url路徑與路徑綁定規(guī)則綁定； 防護(hù)規(guī)則加載模塊:用于將所述的防護(hù)規(guī)則文件加載到安全防護(hù)模塊中，并將安全防護(hù)模塊設(shè)置為全局過濾器；所述的安全防護(hù)模塊單獨(dú)設(shè)置在代理服務(wù)器或者Web應(yīng)用服務(wù)器的內(nèi)存中； Web請(qǐng)求接收模塊:用于接收用戶的Web應(yīng)用訪問請(qǐng)求；Web請(qǐng)求處理模塊:用于安全防護(hù)模塊將Web應(yīng)用訪問請(qǐng)求的請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件比較，查看請(qǐng)求數(shù)據(jù)與防護(hù)規(guī)則文件是否匹配，若是則攔截Web應(yīng)用訪問；若否則允許Web應(yīng)用訪問。
10.如權(quán)利要求9所述的一種Web應(yīng)用的安全防護(hù)系統(tǒng)，其特征在于，所述的Web請(qǐng)求處理模塊包括: url配置查看單元:用于查看Web應(yīng)用訪問請(qǐng)求的url路徑是否進(jìn)行了配置，若是則進(jìn)入規(guī)則匹配單元，若否則允許Web應(yīng)用訪問； 規(guī)則匹配單元:用于將請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則進(jìn)行比較，查看請(qǐng)求數(shù)據(jù)與url路徑綁定規(guī)則是否匹配 ，如是則攔截Web應(yīng)用訪問，若否則允許Web應(yīng)用訪問。
【文檔編號(hào)】H04L29/06GK104079528SQ201310098783
【公開日】2014年10月1日 申請(qǐng)日期:2013年3月26日 優(yōu)先權(quán)日:2013年3月26日
【發(fā)明者】劉勝飏, 王飛 申請(qǐng)人:北大方正集團(tuán)有限公司, 北京北大方正電子有限公司