本发明涉及网络安全技术领域,具体涉及基于插件的任意文件操作检测方法。
背景技术:
在网络安全技术领域,在对客户端浏览器进行文件操作时,会有任意文件操作的风险。目前已有的避免这种风险的方法是,采用网站应用级入侵防御系统waf其能够拦截掉文件读取、上传、删除等客户端浏览器操作请求,但是waf无法判断客户端是否真正对文件进行操作,会导致任意文件操作误报的出现。
因此目前需要的一种能够针对文件操作的检测方式,只有当用户真正操作文件时才会对操作文件语句进行分析,以便面任意文件操作检测中的误报问题。
技术实现要素:
本发明的目的在于提供基于插件的的任意文件操作检测方法和装置,用以解决现有的任意文件操作检测中出现的误报问题。
为实现上述目的,本发明中方法包括如下步骤:
在全球广域网web应用服务器上部署拦截插件,web应用服务器中执行如下任意文件操作检测方法:
预先建立黑名单和白名单,黑名单中记载需拦截的文件类型;白名单中记载不需拦截的文件类型。
接收客户端浏览器访问请求。
获取客户端浏览器访问请求中的请求参数值,判断请求参数值中是否存在文件操作关键字;请求参数值包含文件类型。
若请求参数值中存在文件操作关键字,判断请求参数值中的文件类型是否记载在白名单中。
若请求参数值中的文件类型没有记载在白名单中,则判断请求参数值中的文件类型是否记载在黑名单中。
若请求参数值中的文件类型记载在黑名单中,则采用拦截插件在所述客户端浏览器访问请求中加入文件操作拦截探针。。
进一步地,客户端浏览器访问请求包含2个以上的请求参数值。
进一步地,判断请求参数值中是否存在文件操作关键字,还包括:若请求参数值中不存在文件操作关键字,则获取下一请求参数值。
进一步地,其特征在于,判断请求参数中的文件类型是否记载在白名单中,还包括:若请求参数值中的文件类型记载在白名单中,则不拦截客户端浏览器访问请求。
进一步地,判断请求参数值中的文件类型是否记载在黑名单中,还包括:若请求参数值中的文件类型记载在黑名单中,则不拦截客户端浏览器访问请求。
本发明还提供了基于插件的任意文件操作检测装置,在全球广域网web应用服务器上部署拦截插件,同时在web应用服务器中部署如下任意文件操作检测装置,包括接收模块、第一判断模块、第二判断模块、第三判断模块以及拦截模块。
接收模块,用于接收客户端浏览器访问请求,将客户端浏览器访问请求送入第一判断模块。
第一判断模块,用于获取客户端浏览器访问请求中的请求参数值,判断请求参数值中是否存在文件操作关键字;请求参数值包含文件类型;若请求参数值中存在文件操作关键字,则将客户端浏览器访问请求以及请求参数值送入第二判断模块。
第二判断模块,预先建立白名单,白名单中记载不需拦截的文件类型;第二判断模块用于判断请求参数值中的文件类型是否记载在白名单中;若请求参数值中的文件类型没有记载在白名单中,则将客户端浏览器访问请求以及请求参数值送入第三判断模块。
第三判断模块,预先建立黑名单,黑名单中记载需拦截的文件类型;第三判断模块用于判断请求参数值中的文件类型是否记载在黑名单中;若请求参数值中的文件类型记载在黑名单中,则将客户端浏览器访问请求送入到拦截模块。
拦截模块,用于采用所述拦截插件在所述客户端浏览器访问请求中加入文件操作拦截探针。
进一步地,第一判断模块,还用于:判断若请求参数值中不存在文件操作关键字,则获取下一个客户端浏览器访问请求。
进一步地,第二判断模块,还用于:判断若请求参数值中的文件类型记载在白名单中,则允许客户端浏览器访问请求。
进一步地,第三判断模块,还用于:若请求参数值中的文件类型没有记载在黑名单中,则允许客户端浏览器访问请求。
本发明具有如下优点:
本发明所提供的注入检测方法和装置,能够对客户端浏览器访问请求中的请求参数值中的文件操作关键字进行判断,当存在该文件操作关键字时,认为该客户端浏览器访问请求是用户真正要进行操作文件的请求,然后对请求参数值中的文件名和文件类型分别进行白名单和黑名单的对比查询,从而拦截掉具有任意文件操作风险的客户端浏览器访问请求。
附图说明
图1本发明实施例1提供的方法流程图。
图2本发明实施例2提供的装置组成框图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
本发明实施例提供了基于插件的任意文件操作检测方法,在全球广域网web应用服务器上部署拦截插件,所述web应用服务器中执行如下具体流程如图1所示,包括如下步骤:
s1、预先建立黑名单和白名单,黑名单中记载需拦截的文件类型;白名单中记载不需拦截的文件类型。
s2、接收客户端浏览器访问请求。拦截插件还可以在客户端浏览器访问请求中添加用户信息探针,用于获取客户端对应的用户信息。
s3、获取客户端浏览器访问请求中的请求参数值,判断请求参数值中是否存在文件操作关键字;请求参数值包含文件类型。
若请求参数值中存在文件操作关键字,执行s4。
s4、判断请求参数值中的文件类型是否记载在白名单中。
若请求参数值中的文件类型没有记载在白名单中,则执行s5。
s5、判断请求参数值中的文件类型是否记载在黑名单中。
若请求参数值中的文件类型记载在黑名单中,则执行s6.
s6、采用拦截插件在客户端浏览器访问请求中加入文件操作拦截探针,从而实现对具有任意文件操作风险的客户端浏览器访问请求的拦截。
本发明实施例中,客户端浏览器访问请求包含2个以上的请求参数值。
本发明实施例中,s3中判断请求参数值中是否存在文件操作关键字,还包括:若请求参数值中不存在文件操作关键字,则执行s31.
s31、获取下一请求参数值并返回s3急需判断请求参事主是否存在文件操作关键字。
本发明实施例中,s4中,判断请求参数中的文件类型是否记载在白名单中,还包括:若请求参数值中的文件类型记载在白名单中,则执行s41.
s41、不拦截客户端浏览器访问请求。
本发明实施例中,s5中,判断请求参数值中的文件类型是否记载在黑名单中,还包括:若请求参数值中的文件类型记载在黑名单中,则执行s41.
s41、不拦截客户端浏览器访问请求。
本发明具有如下优点:
本发明所提供的注入检测方法和装置,能够对客户端浏览器访问请求中的请求参数值中的文件操作关键字进行判断,当存在该文件操作关键字时,认为该客户端浏览器访问请求是用户真正要进行操作文件的请求,然后对请求参数值中的文件名和文件类型分别进行白名单和黑名单的对比查询,从而拦截掉具有任意文件操作风险的客户端浏览器访问请求。
实施例2
本发明还提供了基于插件的任意文件操作检测装置,在全球广域网web应用服务器上部署插件,所述web应用服务器中同时部署该任意文件操作检测装置。具体框图如图2所示,任意文件操作检测装置包括接收模块、第一判断模块、第二判断模块、第三判断模块以及拦截模块。
接收模块,用于接收客户端浏览器访问请求,将客户端浏览器访问请求送入第一判断模块。
第一判断模块,用于获取客户端浏览器访问请求中的请求参数值,判断请求参数值中是否存在文件操作关键字;请求参数值包含文件类型;若请求参数值中存在文件操作关键字,则将客户端浏览器访问请求以及请求参数值送入第二判断模块。
第二判断模块,预先建立白名单,白名单中记载不需拦截的文件类型;第二判断模块用于判断请求参数值中的文件类型是否记载在白名单中;若请求参数值中的文件类型没有记载在白名单中,则将客户端浏览器访问请求以及请求参数值送入第三判断模块。
第三判断模块,预先建立黑名单,黑名单中记载需拦截的文件类型;第三判断模块用于判断请求参数值中的文件类型是否记载在黑名单中;若请求参数值中的文件类型记载在黑名单中,则将客户端浏览器访问请求送入到拦截模块。
拦截模块,用于采用拦截插件在客户端浏览器访问请求中加入文件操作拦截探针,从而实现对具有任意文件操作风险的客户端浏览器访问请求的拦截。。
本发明实施例中,第一判断模块,还用于:判断若请求参数值中不存在文件操作关键字,则获取下一个客户端浏览器访问请求。
本发明实施例中,第二判断模块,还用于:判断若请求参数值中的文件类型记载在白名单中,则允许客户端浏览器访问请求。
本发明实施例中,第三判断模块,还用于:若请求参数值中的文件类型没有记载在黑名单中,则允许客户端浏览器访问请求。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。