一种防止注入攻击的方法、客户端、服务器和系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种防止注入攻击的方法、客户端、服务器和系统。
【背景技术】
[0002]随着网络技术的发展和人们需求的不断变化,在本地安装的独立的客户端往往不能满足人们的全部需求,部分需求而需要利用客户端与服务器的交互来实现,而这就需要服务器接收客户端发送的请求,并对该请求进行响应。因此,也就产生了对客户端发送的请求的劫持技术,攻击方通过获取到客户端向服务器发送的请求,如HTTP请求,在该请求中注入非法信息形成新的请求,便可以欺骗服务器以完成某些不正当的目的,如伪装发送已付款信息、已完成任务信息等,这些请求并不是在客户端进行正当操作发送的请求,但是会欺骗服务器进行响应,达到刷分、骗单等非法目的。
【发明内容】
[0003]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的防止注入攻击的方法、客户端、服务器和系统。
[0004]依据本发明的一个方面,提供了一种防止注入攻击的方法,应用于客户端,包括:从待发送给服务器的原始HTTP请求中截取URL参数;将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;将所述最终的HTTP请求发给服务器。
[0005]可选地,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对所述字符串进行加密处理,得到防注入信息。
[0006]可选地,所述指定信息进一步包括:随机数和/或时间戳;所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;所述得到最终的HTTP请求进一步包括:将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
[0007]可选地,该方法进一步包括:保存添加到所述最终的HTTP请求中的防注入信息;接收服务器返回的HTTP响应;从所述HTTP响应中提取防注入信息;并将所提取的防注入信息与保存的所述防注入信息进行比较;如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
[0008]依据本发明的另一方面,提供了一种防止注入攻击的方法,应用于服务器,包括:接收客户端发送的HTTP请求;从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;从删除防注入信息的HTTP请求中截取URL参数;将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
[0009]可选地,所述将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息包括:将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串;通过MD5算法对所述字符串进行加密处理,得到防注入信息。
[0010]可选地,该方法进一步包括:保存从所接收到的HTTP请求中提取的防注入信息;当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
[0011]可选地,该方法进一步包括:提取所述HTTP请求中包含的一个随机数和/或时间戳;所述得到防注入信息进一步包括:将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
[0012]可选地,该方法进一步包括:将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中;将所述HTTP响应返回给客户端。
[0013]可选地,在从所述HTTP请求中提取防注入信息的步骤之前,该方法进一步包括:根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则执行从所述HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不再执行从所述HTTP请求中提取防注入信息的步骤。
[0014]依据本发明的又一方面,提供了一种防止注入攻击的客户端装置,包括:参数截取单元,适于从待发送给服务器的原始HTTP请求中截取URL参数;防注入信息生成单元,将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;添加单元,适于将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求;发送单元,适于将所述最终的HTTP请求发给服务器。
[0015]可选地,所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
[0016]可选地,所述指定信息进一步包括:随机数和/或时间戳;所述防注入信息生成单元,适于将截取的URL参数、预先约定的密钥以及所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息;所述添加单元,适于将所述防注入信息和所述随机数和/或时间戳添加到所述原始HTTP请求中得到最终的HTTP请求。
[0017]可选地,该装置进一步包括:存储单元和接收处理单元;所述添加单元,进一步适于将添加到所述最终的HTTP请求中的防注入信息保存到存储单元中;所述接收处理单元,适于接收服务器返回的HTTP响应,从所述HTTP响应中提取防注入信息,并将所提取的防注入信息与存储单元中保存的所述防注入信息进行比较;如果一致则确认所述HTTP响应合法,如果不一致则确认所述HTTP响应不合法。
[0018]依据本发明的再一方面,提供了一种防止注入攻击的服务器,包括:接收单元,适于接收客户端发送的HTTP请求;防注入信息提取单元,适于从所述HTTP请求中提取防注入信息,并从所述HTTP请求中删除所述防注入信息;参数截取单元,适于从删除防注入信息的HTTP请求中截取URL参数;防注入信息生成单元,适于将截取的URL参数和指定信息一起通过预设的加密算法进行处理,得到防注入信息;其中,所述指定信息包括:预先约定的密钥;比较处理单元,适于将通过预设的加密算法处理得到的防注入信息与从所述HTTP请求中提取的防注入信息进行比较;如果一致则确定所述HTTP请求合法,如果不一致则确定所述HTTP请求为被注入攻击信息的HTTP请求。
[0019]可选地,所述防注入信息生成单元,适于将截取的各URL参数和所述预先约定的密钥按照指定的顺序拼接成一个字符串,通过MD5算法对所述字符串进行加密处理,得到防注入信息。
[0020]可选地,该服务器进一步包括:存储单元和恶意重发处理单元;所述防注入信息提取单元,适于将从所接收到的HTTP请求中提取的防注入信息保存到所述存储单元中;所述恶意重发处理单元,适于当接收到客户端发送的HTTP请求时,从该HTTP请求中提取防注入信息后,判断所述存储单元中保存的防注入信息中是否存在同样的防注入信息;如果存在则确定当前接收到的HTTP请求为恶意重复发送的HTTP请求。
[0021]可选地,所述防注入信息生成单元,适于提取所述HTTP请求中包含的一个随机/时间戳,将截取的URL参数、预先约定的密钥和所述随机数和/或时间戳一起通过预设的加密算法进行处理,得到防注入信息。
[0022]可选地,该服务器进一步包括:响应单元,适于将从所述HTTP请求中提取的防注入信息添加到对应的HTTP响应中,将所述HTTP响应返回给客户端。
[0023]可选地,该服务器进一步包括:鉴权单元,适于根据所述HTTP请求的中的应用标识,判断相应的应用是否具有操作权限;如果有操作权限,则通知所述防注入信息提取单元执行从所述HTTP请求中提取防注入信息的步骤;如果没有操作权限,则不通知所述防注入?目息提取单兀。
[0024]依据本发明的再一方面,提供了一种防止注入攻击的系统,包括:至少一如上述任一项所述的服务器和至少一如上述任一项所述的客户端装置。
[0025]本发明实施例的有益效果是:本发明的技术方案,通过在客户端侧对待发送给服务器的原始HTTP请求进行截取URL参数的操作,将截取的URL参数和预先指定的信息通过预设的加密算法进行处理,得到包括预先约定的密钥的防注入信息,再将所述防注入信息添加到所述原始HTTP请求中得到最终的HTTP请求后发给服务器,经过上述处理得到的最终HTTP请求当被劫持获取到时,攻击方如果向劫持到的HTTP请求中注入信息得到伪装请求,那么伪装请求不能正确地被服务器响应,因此避免了服务器被攻击方发送的伪装请求所欺骗,可以有效地应对刷分、骗单等攻击,采取的技术手段易于实施,效果显著。
[0026]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0027]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限