跨脚本攻击的防御方法、装置、介质及电子设备与流程

文档序号:26103284发布日期:2021-07-30 18:14阅读:167来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
跨脚本攻击的防御方法、装置、介质及电子设备与流程

本发明涉及数据安全的技术领域,具体而言,涉及一种跨脚本攻击的防御方法、装置、介质及电子设备。



背景技术:

随着互联网的快速发展,人们越来越喜欢通过web应用来获取自己想要的互联网资源。但是,在用户通过web应用获取互联网资源时,可能会被恶意攻击者通过恶意代码来窃取用户的隐私数据,导致用户数据泄漏。例如,恶意攻击者利用跨脚本攻击的手段来窃取用户数据,从而导致用户数据泄漏。因此,现在亟需一种防御跨脚本攻击的方法来保护用户数据。

需要说明的是,在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。



技术实现要素:

本发明实施例的目的在于提供一种跨脚本攻击的防御方法、装置、介质及电子设备,进而至少可以通过前后端结合立体化防御,这样全方位提高系统的跨脚本攻击的防御能力,使用跨脚本攻击安全组件使用本发明的方法可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。

根据本发明实施例的第一方面,提供了一种跨脚本攻击的防御方法,应用于客户端,所述客户端部署有跨脚本攻击安全组件,该方法包括:利用所述跨脚本攻击安全组件监控所述客户端的用户请求,当监控到所述客户端的用户请求时,对所述客户端的用户请求中的数据进行过滤拦截处理;在所述客户端的用户请求被正常通过时,向服务器端发送所述客户端的用户请求;利用所述跨脚本攻击安全组件监控所述客户端的响应数据,当监控到所述客户端的响应数据时,对所述客户端的响应数据进行过滤拦截处理,所述客户端的响应数据为所述服务器端根据所述客户端的用户请求返回的数据;在所述客户端的响应数据被正常通过时,在所述客户端上展示所述响应数据。

在本发明的一些实施例中,对所述客户端的用户请求中的数据进行过滤拦截处理包括:根据所述客户端的用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,对所述客户端的响应数据进行过滤拦截处理包括:根据所述客户端的响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据。

根据本发明实施例的第二方面,提供了一种跨脚本攻击的防御方法,应用于服务器端,所述服务器端署有跨脚本攻击安全组件,该方法包括:利用所述跨脚本攻击安全组件监控由客户端发送至所述服务器端的用户请求,当监控到所述用户请求时,对所述用户请求中的数据进行过滤拦截处理;在所述用户请求被正常通过时,获取与所述用户请求相匹配的响应数据;利用所述跨脚本攻击安全组件监控所述响应数据,当监控到所述响应数据时,对所述响应数据进行过滤拦截处理;在所述响应数据被正常通过时,向所述客户端返回所述响应数据。

在本发明的一些实施例中,对所述用户请求中的数据进行过滤拦截处理包括:根据所述用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,对所述响应数据进行过滤拦截处理包括:根据所述响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据。

根据本发明实施例的第三方面,提供了一种跨脚本攻击的防御装置,应用于客户端,所述客户端部署有跨脚本攻击安全组件,该装置包括:第一过滤拦截模块,利用所述跨脚本攻击安全组件监控所述客户端的用户请求,当监控到所述客户端的用户请求时,对所述客户端的用户请求中的数据进行过滤拦截处理;发送模块,在所述客户端的用户请求被正常通过时,向服务器端发送所述客户端的用户请求;第二过滤拦截模块,利用所述跨脚本攻击安全组件监控所述客户端的响应数据,当监控到所述客户端的响应数据时,对所述客户端的响应数据进行过滤拦截处理,所述客户端的响应数据为所述服务器端根据所述客户端的用户请求返回的数据;展示模块,在所述客户端的响应数据被正常通过时,在所述客户端上展示所述响应数据。

在本发明的一些实施例中,上述第一过滤拦截模块被配置为:根据所述客户端的用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,上述第二过滤拦截模块被配置为:根据所述客户端的响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据。

根据本发明实施例的第四方面,提供了一种跨脚本攻击的防御装置,应用于服务器端,所述服务器端署有跨脚本攻击安全组件,该装置包括:第一过滤拦截模块,利用所述跨脚本攻击安全组件监控由客户端发送至所述服务器端的用户请求,当监控到所述用户请求时,对所述用户请求中的数据进行过滤拦截处理;获取模块,在所述用户请求被正常通过时,获取与所述用户请求相匹配的响应数据;第二过滤拦截模块,利用所述跨脚本攻击安全组件监控所述响应数据,当监控到所述响应数据时,对所述响应数据进行过滤拦截处理;返回模块,在所述响应数据被正常通过时,向所述客户端返回所述响应数据。

在本发明的一些实施例中,上述第一过滤拦截模块被配置为:根据所述用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,上述第二过滤拦截模块被配置为:根据所述响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据。

根据本发明实施例的第五方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中第一方面或第二方面所述的跨脚本攻击的防御方法。

根据本发明实施例的第六方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述实施例中第一方面或第二方面所述的跨脚本攻击的防御方法。

本发明实施例提供的技术方案可以包括以下有益效果:

在本发明的一些实施例所提供的技术方案中,利用跨脚本攻击安全组件监控客户端的用户请求,当监控到客户端的用户请求时,对客户端的用户请求中的数据进行过滤拦截处理,在客户端的用户请求被正常通过时,向服务器端发送客户端的用户请求,然后利用跨脚本攻击安全组件监控客户端的响应数据,当监控到客户端的响应数据时,对客户端的响应数据进行过滤拦截处理,在客户端的响应数据被正常通过时,在客户端上展示响应数据,以此方式可以在一定程度上保护用户数据,有效地避免用户数据泄漏,还可以提高客户端针对跨脚本攻击的防御能力,另外,跨脚本攻击安全组件可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:

图1示出了示意性示出了本发明的跨脚本攻击的防御方法的示意图;

图2示意性示出了根据本发明的实施例的应用于客户端的跨脚本攻击的防御方法的流程图;

图3示意性示出了根据本发明的另一个实施例的应用于客户端的跨脚本攻击的防御方法的流程图;

图4示意性示出了根据本发明的另一个实施例的应用于客户端的跨脚本攻击的防御方法的流程图;

图5示意性示出了根据本发明的实施例的应用于服务器端的跨脚本攻击的防御方法的流程图;

图6示意性示出了根据本发明的另一个实施例的应用于服务器端的跨脚本攻击的防御方法的流程图;

图7示意性示出了根据本发明的另一个实施例的应用于服务器端的跨脚本攻击的防御方法的流程图;

图8示意性示出了根据本发明的实施例的应用于客户端的跨脚本攻击的防御装置的方框图;

图9示意性示出了根据本发明的实施例的应用于服务器端的跨脚本攻击的防御装置的方框图;

图10示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。

此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。

图1示出了示意性示出了本发明的跨脚本攻击的防御方法的示意图。

如图1所示,客户端跨脚本攻击安全组件a1部署在客户端(例如,浏览器)101中,客户端跨脚本攻击安全组件a1实时件监控客户端101的用户请求。当用户通过客户端101来获取互联网资源时,客户端101基于用户操作,生成用户请求。在这种情况下,客户端跨脚本攻击安全组件a1监控到客户端101的用户请求,并对该用户请求进行过滤拦截处理,在客户端101的用户请求被正常通过时,向服务器端(例如,web服务器)102发送客户端101的用户请求。在本实施例中,客户端跨脚本攻击安全组件a1还可以实时监控服务器端102根据客户端101的用户请求返回的响应数据,当监控到客户端101的响应数据时,对客户端101的响应数据进行过滤拦截处理,在客户端101的响应数据被正常通过时,在客户端101上展示响应数据。

在本实施例中,服务器端跨脚本攻击安全组件a2部署在服务器端102,服务器端跨脚本攻击安全组件a2件监控由客户端101发送至服务器端102的用户请求。其中,服务器端跨脚本攻击安全组件a2与上述客户端跨脚本攻击安全组件a1中的过滤拦截规则可以根据实际情况设置为相同或不同。例如,根据客户端101中微服务接口可以动态配置不同的过滤拦截规则。例如,根据服务器端102中微服务接口可以动态配置不同的过滤拦截规则。这样可以降低业务数据被误拦截的风险,保障web产品的业务功能稳定和跨脚本攻击安全防护两不误。

在服务器端跨脚本攻击安全组件a2监控到用户请求时,对用户请求中的数据进行过滤拦截处理,在用户请求被正常通过时,可以从服务器端102获取与用户请求相匹配的响应数据,也可以从数据库服务器103中获取与用户请求相匹配的响应数据。在本实施例中,服务器端跨脚本攻击安全组件a2还可以实时监控响应数据,当监控到响应数据时,对响应数据进行过滤拦截处理,在响应数据被正常通过时,向客户端101返回响应数据。

在本实施例中,上述客户端101的用户请求可能是攻击者或用户触发生成的,因此,客户端跨脚本攻击安全组件a1需要实时监控客户端101中的每个用户请求,当监控到用户请求必须拦截,并利用预先配置的过滤拦截规则对其进行过滤拦截处理。当客户端101接收到服务器端102返回的响应数据时,攻击者可能在响应数据的传输过程注入恶意代码,因此,客户端跨脚本攻击安全组件a1需要实时监控客户端101中的响应数据,当监控到响应数据必须拦截,并利用预先配置的过滤拦截规则对其进行过滤拦截处理。另外,客户端101在向服务器端102发送用户请求的时候,攻击者也可能将恶意代码注入到用户请求,因此,服务器端跨脚本攻击安全组件a2实时监控客户端101上传的用户请求,当监控到用户请求时,并利用预先配置的过滤拦截规则对其进行过滤拦截处理。在基于用户请求获取与其对应的响应数据时,攻击者也可能将恶意代码注入到响应数据,因此,服务器端跨脚本攻击安全组件a2实时监控响应数据,当监控到响应数据时,并利用预先配置的过滤拦截规则对其进行过滤拦截处理。以此方式构建前后端结合立体化防御,对于http请求和响应的dom解析、web客户端请求与响应、web后端服务请求与响应过程进行安全防御,从请求响应角度全方位提高系统的跨脚本攻击的防御能力。

图2示意性示出了根据本发明的实施例的应用于客户端的跨脚本攻击的防御方法的流程图。在本实施例中,上述客户端部署有跨脚本攻击安全组件,用于监控和过滤拦截用户请求和响应数据,以此防御跨脚本攻击。

如图2所示,应用于客户端的跨脚本攻击的防御方法可以包括步骤s210~步骤s240。

在步骤s210中,利用所述跨脚本攻击安全组件监控所述客户端的用户请求,当监控到所述客户端的用户请求时,对所述客户端的用户请求中的数据进行过滤拦截处理。

在步骤s220中,在所述客户端的用户请求被正常通过时,向服务器端发送所述客户端的用户请求。

在步骤s230中,利用所述跨脚本攻击安全组件监控所述客户端的响应数据,当监控到所述客户端的响应数据时,对所述客户端的响应数据进行过滤拦截处理。

在步骤s240中,在所述客户端的响应数据被正常通过时,在所述客户端上展示所述响应数据。

该方法可以利用客户端的跨脚本攻击安全组件监控客户端的用户请求,当监控到客户端的用户请求时,对客户端的用户请求中的数据进行过滤拦截处理,在客户端的用户请求被正常通过时,向服务器端发送客户端的用户请求,然后利用跨脚本攻击安全组件监控客户端的响应数据,当监控到客户端的响应数据时,对客户端的响应数据进行过滤拦截处理,在客户端的响应数据被正常通过时,在客户端上展示响应数据,以此方式可以在一定程度上保护用户数据,有效地避免用户数据泄漏,还可以提高客户端针对跨脚本攻击的防御能力,另外,跨脚本攻击安全组件可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

在本发明的一个实施例中,上述跨脚本攻击安全组件可以是基于客户端的不同微服务接口进行动态配置过滤拦截规则封装而成的。例如,过滤拦截规则可以包括通用过滤拦截规则和个性化过滤拦截规则。在对用户请求和响应数据进行过滤拦截处理时,可以根据微服务接口,调用与其对应的过滤拦截规则来对用户请求和响应数据进行过滤拦截处理。例如,根据微服务接口a,调用通用过滤拦截规则,利用通用过滤拦截规则对用户请求进行过滤拦截处理。再例如,根据微服务接口b,调用个性化过滤拦截规则,利用个性化过滤拦截规则对响应数据进行过滤拦截处理。

在本发明的一个实施例中,上述通用过滤拦截规则中包含通用字符集,上述个性化过滤拦截规则中包含通用字符集和个性化字符集。例如,根据通用的跨脚本攻击(简称,xss)的脚本配置通用过滤拦截规则中的通用字符集。再例如,根据通用的跨脚本攻击的脚本和变异的跨脚本攻击的脚本(例如,改变大小写、转义后的攻击脚本,多重循环嵌套的攻击脚本)配置个性化过滤拦截规则中饿通用字符集和个性化字符集。

图3示意性示出了根据本发明的另一个实施例的应用于客户端的跨脚本攻击的防御方法的流程图。

如图3所示,上述对客户端的用户请求中的数据进行过滤拦截处理具体地可以包括步骤s310~步骤s330。

在步骤s310中,根据所述客户端的用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集。

在步骤s320中,利用通用过滤拦截规则中的通用字符集对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求;或者。

在步骤s330中,利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求。

该方法可以根据微服务接口的类型来调用不同的过滤拦截规则对与微服务接口类型相对应的用户请求进行过滤拦截处理,这样既可以降低业务数据被误拦截的风险,又能保护用户数据不被盗取,实现防御跨脚本攻击的效果。以复式过滤拦截的方式处理用户请求可以进一步提高数据的安全性。

在本发明的一个实施例中,在客户端跨脚本攻击安全组件监控到用户请求时,根据该用户请求所属的微服务接口,动态分配过滤拦截规则。例如,根据该用户请求所属的微服务接口类型,调用通用过滤拦截规则。根据该用户请求所属的微服务接口类型,调用个性化过滤拦截规则。

在本发明的一个实施例中,利用通用过滤拦截规则中的通用字符集对客户端的用户请求中的数据进行复式过滤拦截。例如,利用通用过滤拦截规则中的通用字符集,从该用户请求中过滤拦截掉与通用字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的用户请求。

在本发明的一个实施例中,利用个性化过滤拦截规则中的通用字符集和个性化字符集对客户端的用户请求中的数据进行复式过滤拦截。例如,利用个性化过滤拦截规则中的通用字符集和个性化字符集,从该用户请求中过滤拦截掉与通用字符集和个性化字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的用户请求。

通过以上两种方式可以有效地防御跨脚本攻击客户端的用户请求,保护了用户数据,避免了用户数据被盗取。

图4示意性示出了根据本发明的另一个实施例的应用于客户端的跨脚本攻击的防御方法的流程图。

如图4所示,上述对所述客户端的响应数据进行过滤拦截处理具体可以包括步骤s410~步骤s430。

在步骤s410中,根据所述客户端的响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集。

在步骤s420中,利用通用过滤拦截规则中的通用字符集对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据;或者。

在步骤s430中,利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据。

该方法可以根据微服务接口的类型来调用不同的过滤拦截规则对与微服务接口类型相对应的响应数据进行过滤拦截处理,这样既可以降低业务数据被误拦截的风险,又能保护用户数据不被盗取,实现防御跨脚本攻击的效果。以复式过滤拦截的方式处理响应数据可以进一步提高数据的安全性。

在本发明的一个实施例中,在客户端跨脚本攻击安全组件监控到响应数据时,根据该响应数据所属的微服务接口,动态分配过滤拦截规则。例如,根据该响应数据所属的微服务接口类型,调用通用过滤拦截规则。根据该响应数据所属的微服务接口类型,调用个性化过滤拦截规则。

在本发明的一个实施例中,利用通用过滤拦截规则中的通用字符集对客户端的响应数据进行复式过滤拦截。例如,利用通用过滤拦截规则中的通用字符集,从该响应数据中过滤拦截掉与通用字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的响应数据。

在本发明的一个实施例中,利用个性化过滤拦截规则中的通用字符集和个性化字符集对客户端的响应数据进行复式过滤拦截。例如,利用个性化过滤拦截规则中的通用字符集和个性化字符集,从该响应数据中过滤拦截掉与通用字符集和个性化字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的响应数据。

通过以上两种方式可以有效地防御跨脚本攻击客户端的响应数据,保护了用户数据,避免了用户数据被盗取。

图5示意性示出了根据本发明的实施例的应用于服务器端的跨脚本攻击的防御方法的流程图。在本实施例中,上述服务器端部署有跨脚本攻击安全组件,用于监控和过滤拦截用户请求和响应数据,以此防御跨脚本攻击。

如图5所示,应用于服务器端的跨脚本攻击的防御方法可以包括步骤s510~步骤s540。

在步骤s510中,利用所述跨脚本攻击安全组件监控由客户端发送至所述服务器端的用户请求,当监控到所述用户请求时,对所述用户请求中的数据进行过滤拦截处理。

在步骤s520中,在所述用户请求被正常通过时,获取与所述用户请求相匹配的响应数据。

在步骤s530中,利用所述跨脚本攻击安全组件监控所述响应数据,当监控到所述响应数据时,对所述响应数据进行过滤拦截处理。

在步骤s540中,在所述响应数据被正常通过时,向所述客户端返回所述响应数据。

该方法可以利用服务器端的跨脚本攻击安全组件监控由客户端发送至服务器端的用户请求,当监控到客户端的用户请求时,对用户请求中的数据进行过滤拦截处理,在该用户请求被正常通过时,获取与该用户请求相匹配的响应数据,然后利用跨脚本攻击安全组件监控响应数据,当监控到响应数据时,对响应数据进行过滤拦截处理,在响应数据被正常通过时,向客户端返回响应数据,以此方式可以在一定程度上保护用户数据,有效地避免用户数据泄漏,还可以提高客户端针对跨脚本攻击的防御能力,另外,跨脚本攻击安全组件可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

在本发明的一个实施例中,上述服务器端的跨脚本攻击安全组件可以是基于服务器端的不同微服务接口进行动态配置过滤拦截规则封装而成的。例如,过滤拦截规则可以包括通用过滤拦截规则和个性化过滤拦截规则。在对用户请求和响应数据进行过滤拦截处理时,可以根据微服务接口,调用与其对应的过滤拦截规则来对用户请求和响应数据进行过滤拦截处理。例如,根据微服务接口a,调用通用过滤拦截规则,利用通用过滤拦截规则对用户请求进行过滤拦截处理。再例如,根据微服务接口b,调用个性化过滤拦截规则,利用个性化过滤拦截规则对响应数据进行过滤拦截处理。

在本发明的一个实施例中,上述通用过滤拦截规则中包含通用字符集,上述个性化过滤拦截规则中包含通用字符集和个性化字符集。例如,根据通用的跨脚本攻击(简称,xss)的脚本配置通用过滤拦截规则中的通用字符集。再例如,根据通用的跨脚本攻击的脚本和变异的跨脚本攻击的脚本(例如,改变大小写、转义后的攻击脚本,多重循环嵌套的攻击脚本)配置个性化过滤拦截规则中饿通用字符集和个性化字符集。在本实施例中,通过动态配置和调用过滤拦截规则,可以极大的提升了web系统xss工具防护的灵活性、拦截成功率。

图6示意性示出了根据本发明的另一个实施例的应用于服务器端的跨脚本攻击的防御方法的流程图。

如图6所示,上述对所述用户请求中的数据进行过滤拦截处具体包括步骤s610~步骤s630。

在步骤s610中,根据所述用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集。

在步骤s620中,利用通用过滤拦截规则中的通用字符集对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求;或者。

在步骤s630中,利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求。

该方法可以根据微服务接口的类型来调用不同的过滤拦截规则对与微服务接口类型相对应的用户请求进行过滤拦截处理,这样既可以降低业务数据被误拦截的风险,又能保护用户数据不被盗取,实现防御跨脚本攻击的效果。以复式过滤拦截的方式处理用户请求可以进一步提高数据的安全性。

在本发明的一个实施例中,在服务器端的跨脚本攻击安全组件监控到用户请求时,根据该用户请求所属的微服务接口,动态分配过滤拦截规则。例如,根据该用户请求所属的微服务接口类型,调用通用过滤拦截规则。根据该用户请求所属的微服务接口类型,调用个性化过滤拦截规则。

在本发明的一个实施例中,利用通用过滤拦截规则中的通用字符集对服务器端的用户请求中的数据进行复式过滤拦截。例如,利用通用过滤拦截规则中的通用字符集,从该用户请求中过滤拦截掉与通用字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的用户请求。

在本发明的一个实施例中,利用个性化过滤拦截规则中的通用字符集和个性化字符集对服务器端的用户请求中的数据进行复式过滤拦截。例如,利用个性化过滤拦截规则中的通用字符集和个性化字符集,从该用户请求中过滤拦截掉与通用字符集和个性化字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的用户请求。

通过以上两种方式可以有效地防御跨脚本攻击服务器端的的用户请求,保护了用户数据,避免了用户数据被盗取。

图7示意性示出了根据本发明的另一个实施例的应用于服务器端的跨脚本攻击的防御方法的流程图。

如图7所示,上述对所述响应数据进行过滤拦截处理具体包括步骤s710~步骤s730。

在步骤s710中,根据所述响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集。

在步骤s720中,利用通用过滤拦截规则中的通用字符集对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据;或者。

在步骤s730中,利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据。

该方法可以根据微服务接口的类型来调用不同的过滤拦截规则对与微服务接口类型相对应的响应数据进行过滤拦截处理,这样既可以降低业务数据被误拦截的风险,又能保护用户数据不被盗取,实现防御跨脚本攻击的效果。以复式过滤拦截的方式处理响应数据可以进一步提高数据的安全性。

在本发明的一个实施例中,在服务器端的跨脚本攻击安全组件监控到响应数据时,根据该响应数据所属的微服务接口,动态分配过滤拦截规则。例如,根据该响应数据所属的微服务接口类型,调用通用过滤拦截规则。根据该响应数据所属的微服务接口类型,调用个性化过滤拦截规则。

在本发明的一个实施例中,利用通用过滤拦截规则中的通用字符集对服务器端的响应数据进行复式过滤拦截。例如,利用通用过滤拦截规则中的通用字符集,从该响应数据中过滤拦截掉与通用字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的响应数据。

在本发明的一个实施例中,利用个性化过滤拦截规则中的通用字符集和个性化字符集对服务器端的响应数据进行复式过滤拦截。例如,利用个性化过滤拦截规则中的通用字符集和个性化字符集,从该响应数据中过滤拦截掉与通用字符集和个性化字符集相同的字符,循环该操作直至过滤后的数据无变化后,可以正常通过过滤后的响应数据。

通过以上两种方式可以有效地防御跨脚本攻击服务器端响应数据,保护了用户数据,避免了用户数据被盗取。

通过本发明的跨脚本攻击的防御方法,根据不同web产品构建前后端动态、灵活、高效的安全防御体系,成功解决了相关技术中存在的问题。

图8示意性示出了根据本发明的实施例的应用于客户端的跨脚本攻击的防御装置的方框图。

如图8所示,应用于客户端的跨脚本攻击的防御装置800包括第一过滤拦截模块810、发送模块820、第二过滤拦截模块830和展示模块840。

具体地,第一过滤拦截模块810,利用所述跨脚本攻击安全组件监控所述客户端的用户请求,当监控到所述客户端的用户请求时,对所述客户端的用户请求中的数据进行过滤拦截处理。

发送模块820,在所述客户端的用户请求被正常通过时,向服务器端发送所述客户端的用户请求。

第二过滤拦截模块830,利用所述跨脚本攻击安全组件监控所述客户端的响应数据,当监控到所述客户端的响应数据时,对所述客户端的响应数据进行过滤拦截处理,所述客户端的响应数据为所述服务器端根据所述客户端的用户请求返回的数据。

展示模块840,在所述客户端的响应数据被正常通过时,在所述客户端上展示所述响应数据。

该应用于客户端的跨脚本攻击的防御装置800可以利用客户端的跨脚本攻击安全组件监控客户端的用户请求,当监控到客户端的用户请求时,对客户端的用户请求中的数据进行过滤拦截处理,在客户端的用户请求被正常通过时,向服务器端发送客户端的用户请求,然后利用跨脚本攻击安全组件监控客户端的响应数据,当监控到客户端的响应数据时,对客户端的响应数据进行过滤拦截处理,在客户端的响应数据被正常通过时,在客户端上展示响应数据,以此方式可以在一定程度上保护用户数据,有效地避免用户数据泄漏,还可以提高客户端针对跨脚本攻击的防御能力,另外,跨脚本攻击安全组件可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

根据本发明的实施例,该应用于客户端的跨脚本攻击的防御装置800可以用于实现图2实施例描述的应用于客户端的跨脚本攻击的防御方法。

在本发明的一些实施例中,上述第一过滤拦截模块810被配置为:根据所述客户端的用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的用户请求中的数据进行复式过滤拦截,直至所述客户端的用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,上述第二过滤拦截模块830被配置为:根据所述客户端的响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述客户端的响应数据进行复式过滤拦截,直至所述客户端的响应数据无变化后,正常通过过滤后的响应数据。

由于本发明的示例实施例的应用于客户端的跨脚本攻击的防御装置800的各个模块可以用于实现上述图2~图4描述的应用于客户端的跨脚本攻击的防御方法的示例实施例的步骤,因此对于本发明装置实施例中未披露的细节,请参照本发明上述的应用于客户端的跨脚本攻击的防御方法的实施例。

图9示意性示出了根据本发明的实施例的应用于服务器端的跨脚本攻击的防御装置的方框图。

如图9所示,应用于服务器端的跨脚本攻击的防御装置900包括第一过滤拦截模块910、获取模块920、第二过滤拦截模块930和返回模块940。

具体地,第一过滤拦截模块910,利用所述跨脚本攻击安全组件监控由客户端发送至所述服务器端的用户请求,当监控到所述用户请求时,对所述用户请求中的数据进行过滤拦截处理。

获取模块920,在所述用户请求被正常通过时,获取与所述用户请求相匹配的响应数据。

第二过滤拦截模块930,利用所述跨脚本攻击安全组件监控所述响应数据,当监控到所述响应数据时,对所述响应数据进行过滤拦截处理。

返回模块940,在所述响应数据被正常通过时,向所述客户端返回所述响应数据。

该应用于服务器端的跨脚本攻击的防御装置900可以利用服务器端的跨脚本攻击安全组件监控由客户端发送至服务器端的用户请求,当监控到客户端的用户请求时,对用户请求中的数据进行过滤拦截处理,在该用户请求被正常通过时,获取与该用户请求相匹配的响应数据,然后利用跨脚本攻击安全组件监控响应数据,当监控到响应数据时,对响应数据进行过滤拦截处理,在响应数据被正常通过时,向客户端返回响应数据,以此方式可以在一定程度上保护用户数据,有效地避免用户数据泄漏,还可以提高客户端针对跨脚本攻击的防御能力,另外,跨脚本攻击安全组件可以灵活快捷的导入到项目中使用,极大限度降低了此漏洞的修复成本。

根据本发明的实施例,该应用于服务器端的跨脚本攻击的防御装置900可以用于实现图5实施例描述的应用于服务器端的跨脚本攻击的防御方法。

在本发明的一些实施例中,上述第一过滤拦截模块910被配置为:根据所述用户请求所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述用户请求中的数据进行复式过滤拦截,直至所述用户请求中的数据无变化后,正常通过过滤后的用户请求。

在本发明的一些实施例中,上述第二过滤拦截模块930被配置为:根据所述响应数据所属的微服务接口,调用防御跨脚本攻击的通用过滤拦截规则或个性化过滤拦截规则,其中,所述通用过滤拦截规则中包含通用字符集,所述个性化过滤拦截规则中包含通用字符集和个性化字符集;利用通用过滤拦截规则中的通用字符集对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据;或者利用所述个性化过滤拦截规则中的通用字符集和个性化字符集分别对所述响应数据进行复式过滤拦截,直至所述响应数据无变化后,正常通过过滤后的响应数据。

由于本发明的示例实施例的应用于服务器端的跨脚本攻击的防御装置900的各个模块可以用于实现上述5~图7描述的应用于服务器端的跨脚本攻击的防御方法的示例实施例的步骤,因此对于本发明装置实施例中未披露的细节,请参照本发明上述的应用于服务器端的跨脚本攻击的防御方法的实施例。

下面参考图10,其示出了适于用来实现本发明实施例的电子设备的计算机系统1000的结构示意图。图10示出的电子设备的计算机系统1000仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。在本实施例中,电子设备可以是上述客户端或上述服务器端。

如图10所示,计算机系统1000包括中央处理单元(cpu)1001,其可以根据存储在只读存储器(rom)1002中的程序或者从存储部分1008加载到随机访问存储器(ram)1003中的程序而执行各种适当的动作和处理。在ram1003中,还存储有系统操作所需的各种程序和数据。cpu1001、rom1002以及ram1003通过总线1004彼此相连。输入/输出(i/o)接口1005也连接至总线1004。

以下部件连接至i/o接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至i/o接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(cpu)1001执行时,执行本申请的系统中限定的上述功能。

需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、rf等等,或者上述的任意合适的组合。

附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如上述实施例中所述的跨脚本攻击的防御方法。

例如,所述的电子设备可以实现如图2中所示的:在步骤s210中,利用所述跨脚本攻击安全组件监控所述客户端的用户请求,当监控到所述客户端的用户请求时,对所述客户端的用户请求中的数据进行过滤拦截处理。在步骤s220中,在所述客户端的用户请求被正常通过时,向服务器端发送所述客户端的用户请求。在步骤s230中,利用所述跨脚本攻击安全组件监控所述客户端的响应数据,当监控到所述客户端的响应数据时,对所述客户端的响应数据进行过滤拦截处理。在步骤s240中,在所述客户端的响应数据被正常通过时,在所述客户端上展示所述响应数据。

应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。

应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:蒋艳军;赵轶新
  • 技术所有人:中国电信股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
物联网相关技术
云计算相关技术
系统软件相关技术
防火墙的作用相关技术
光纤相关技术
交换机相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2