一种基于智能表单分析的web防火墙实现方法

一种基于智能表单分析的web防火墙实现方法
【技术领域】
[0001]本发明属于网络安全技术，具体涉及WEB防火墙技术。
【背景技术】
[0002]对外提供服务的WEB服务，一般存在大量的表单，需要由用户提交数据到服务器进行验证处理。如果WEB服务对提交的数据验证不严格，则会留下潜在的漏洞，外部人员可以构造表单数据对服务进行攻击。
[0003]由此可见如何有效验证用户提交的数据，避免外部人员构造表单数据对服务进行攻击的问题，是本领域亟需要解决的问题。

【发明内容】

[0004]针对现有WEB服务容易被外部人员构造的表单数据进行攻击的问题，本发明的目的在于提供一种基于智能表单分析的WEB防火墙实现方法，以避免WEB服务被外部构造的表单数据攻击，提高WEB服务的安全性。
[0005]为了达到上述目的，本发明采用如下的技术方案:
[0006]一种基于智能表单分析的WEB防火墙实现方法，所述方法利用代理技术，对WEB服务进行代理，当代理服务收到WEB服务返回的页面内容，通过动态分析返回页面中的form表单，并形成白名单；并在接收浏览器发送的表单数据时，基于白名单进行检查，避免攻击者提交额外的表单数据。
[0007]在本方法的优选方案中，所述代理服务在分析返回页面中的form表单，并形成白名单时，记录WEB服务地址、包含表单的页面url、表单名称、表单input项，并形成逐层的映身寸关系。
[0008]进一步的，所述代理服务在基于白名单对浏览器发送的表单数据进行匹配检查时，首先在白名单中查找对应WEB服务地址，接着匹配页面url和表单名称，最后依次去匹配各个表单提交项，如果有不匹配的项则返回错误信息。
[0009]本发明利用代理技术，当代理服务收到WEB服务返回的页面内容，通过动态分析页面中是否包含表单，表单中包含哪些项，来生成白名单；当浏览器提交表单数据时，根据这个白名单来验证本次提交是否有效，由此可以有效地提高WEB防护的能力。本发明方案在具体实施时，具有以下优点:
[0010]a)对WEB应用透明；
[0011]b)可以扩展为更复杂的表单检查实现。
【附图说明】
[0012]以下结合附图和【具体实施方式】来进一步说明本发明。
[0013]图1为本方明实施的流程图。
【具体实施方式】
[0014]为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
[0015]本发明提供的方法是利用代理技术，对WEB服务进行代理，当代理服务收到WEB服务返回的页面内容，动态分析返回页面的form表项，并记录相关的数据形成白名单，并以此白名单来对浏览器发送的表单数据进行检查，从而避免攻击者提交额外的表单数据对WEB服务形成攻击。
[0016]WEB防火墙使用七层代理技术，即分析HTTP协议，并对内容进行处理。
[0017]基于七层代理技术，可利用WEB防火墙对WEB服务返回的页面的form表项进行动态分析，且据此形成白名单和对浏览器发送的表单数据进行检查，从而提高WEB防护的能力。
[0018]其具体的实现方案如下:
[0019](I)WEB防火墙检测到WEB服务器返回的页面。
[0020](2) WEB防火墙动态分析WEB服务器返回的页面的form表项，并根据页面中的表单生成白名单，同时记录表单对应的WEB服务地址、包含表单的页面url、表单名称、表单input项，并形成逐层的映射关系。通过记录这样的验证数据能够保证后续利用白名单进行验证的正确性。
[0021](3) WEB防火墙将WEB服务器返回的页面提交给浏览器。
[0022](4)浏览器中填写表单内容，并提交至WEB防火墙。
[0023](5)WEB防火墙收到浏览器提交的表单数据后，根据浏览器提交的表单数据在步骤
(2)中形成的白名单中查找对应WEB服务地址，以找到对应的应用服务器；接着，匹配页面url和表单名称；在匹配通过后，再依次去匹配各个表单提交项；如匹配，则提交该表单数据到WEB服务器；如果有不匹配的项，则进行拦截返回错误信息。
[0024]参见图1，其所示为基于方案进行智能表单分析的实施流程图。整个实施过程如下:
[0025](I) IE浏览器向WEB服务器发起获取页面请求(即HTTP访问请求)。
[0026](2 ) WEB防火墙转发请求到WEB服务器。
[0027](3) WEB服务器处理请求，返回带表单的响应页面到WEB防火墙。
[0028](4)WEB防火墙收到WEB服务器返回的页面，动态分析返回页面的form表项，并根据表单input项生成白名单。
[0029](5) WEB防火墙返回页面到IE浏览器。
[0030](6) IE浏览器收到响应页面。
[0031 ] (7)用户填写表单内容，并提交表单数据至WEB防火墙。
[0032](S)WEB防火墙根据步骤(4)中生成的白名单来验证IE浏览器提交的表单数据的有效性，如果验证通过，则转发到WEB服务器，否则返回失败。
[0033]由上可知，通过对WEB服务器返回页面表单的动态分析，并形成用于检查浏览器返回表单数据的白名单，能够有效拦截攻击者提交的额外表单数据，从而提高WEB服务器的防护能力。
[0034]以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
【主权项】
1.一种基于智能表单分析的WEB防火墙实现方法，其特征在于，所述方法利用代理技术，对WEB服务进行代理，当代理服务收到WEB服务返回的页面内容，通过动态分析返回页面中的form表单，并形成白名单；并在接收浏览器发送的表单数据时，基于白名单进行检查，避免攻击者提交额外的表单数据。
2.根据权利要求1所述的一种基于智能表单分析的WEB防火墙实现方法，其特征在于，所述代理服务在分析返回页面中的form表单，并形成白名单时，记录WEB服务地址、包含表单的页面url、表单名称、表单input项，并形成逐层的映射关系。
3.根据权利要求1所述的一种基于智能表单分析的WEB防火墙实现方法，其特征在于，所述代理服务在基于白名单对浏览器发送的表单数据进行匹配检查时，首先在白名单中查找对应WEB服务地址，接着匹配页面url和表单名称，最后依次去匹配各个表单提交项，如果有不匹配的项则返回错误信息。
【专利摘要】本发明公开了一种基于智能表单分析的WEB防火墙实现方法，其利用代理技术，对WEB服务进行代理，当代理服务收到WEB服务返回的页面内容，通过动态分析返回页面中的form表单，并形成白名单；并在接收浏览器发送的表单数据时，基于白名单进行检查，避免攻击者提交额外的表单数据。该方法可以避免WEB服务被外部构造的表单数据攻击，提高WEB服务的安全性。
【IPC分类】H04L29-08, H04L29-06
【公开号】CN104753901
【申请号】CN201310753780
【发明人】吴勇克, 掌晓愚, 任伟
【申请人】上海格尔软件股份有限公司
【公开日】2015年7月1日
【申请日】2013年12月31日