Web应用程序防护方法、电子设备及计算机可读存储介质与流程

web应用程序防护方法、电子设备及计算机可读存储介质
技术领域
1.本技术涉及计算机技术领域，具体涉及一种web应用程序防护方法、电子设备及计算机可读存储介质。


背景技术：

2.如今的web项目绝大多数是依靠防火墙和waf(web application fire ware)，但是这些传统的安全防护工具主要是通过规则匹配和硬件相结合，如云waf。但是这些技术大部分是基于硬件相结合，在web服务器的前端架设相关的硬件进行安全漏洞的防御，没有真正的深入到应用的代码级别对web服务器进行深层次的安全防御，缺点如下：
3.1、部署复杂，成本高，普适性差。
4.2、无法进行安全攻击的实时预警和防御。
5.3、无法进行web服务器深层次的安全防御。
6.4、没法解决用户的个性化安全防御的需求。


技术实现要素：

7.本技术的目的在于提供一种web应用程序防护方法、电子设备及计算机可读存储介质，能够解决上述至少一技术问题。
8.为实现上述目的，本技术提供了一种基于rasp的web应用程序防护方法，包括：
9.创建多个用户防护策略模板，每个所述用户防护策略模板包括至少一个安全漏洞防护规则；
10.从多个所述用户防护策略模板选择待下发的所述用户防护策略模板；
11.下发选择的所述用户防护策略模板至目标服务器的探针，所述探针利用rasp技术加载在所述目标服务器的web容器。
12.可选地，根据不同的应用创建各自对应的所述用户防护策略模板。
13.可选地，根据应用的不同场景创建各自对应的所述用户防护策略模板。
14.可选地，每个所述用户防护策略模板中的所述安全漏洞防护规则从预设的防护规则库中选取，所述防护规则库存储有若干所述安全漏洞防护规则。
15.可选地，所述防护规则库中的安全漏洞防护规则包括：不安全的反序列化攻击、目录遍历攻击、不安全的文件操作攻击、表达式攻击、sql注入攻击、服务器端请求伪造攻击、存储型跨站脚本攻击、反射型跨站脚本攻击。
16.可选地，利用rasp技术在目标服务器的web容器加载探针；
17.利用所述探针接收portal端下发的用户防护策略模板，所述portal端创建有多个所述用户防护策略模板，每个所述用户防护策略模板包括至少一个安全漏洞防护规则；
18.通过所述探针接收的所述用户防护策略模板对所述web容器中的应用进行防护。
19.可选地，所述探针基于其防护引擎对所述web容器中的应用进行组件安全性检测、组件版本检测、漏洞数据库比对以及漏洞信息上报。
20.可选地，所述方法还包括：
21.将对所述web容器中的应用进行防护过程中的安全攻击信息进行汇总；
22.如果存在安全漏洞，则进行实时防护或者关闭当前应用。
23.为实现上述目的，本技术还提供了一种电子设备，包括：
24.处理器；
25.存储器，其中存储有所述处理器的可执行指令；
26.其中，所述处理器配置为经由执行所述可执行指令来执行如前所述的web应用程序防护方法。
27.为实现上述目的，本技术还提供了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现如前所述的web应用程序防护方法。
28.本技术还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行如上所述的web应用程序防护方法。
29.本技术可以预先创建多个用户防护策略模板，并可根据目标服务器的防护需要选择并下发用户防护策略模板至目标服务器的探针，进而目标服务器的探针可以利用该用户防护策略模板对web容器中的应用进行防护。本技术使用户可以根据实际业务通过portal端进行防护策略模板的随意、个性化的创建，有利于对产线上的真实应用的不同场景进行针对性的实时防护。
附图说明
30.图1是本技术实施例一web应用程序防护方法的流程图。
31.图2是本技术实施例二web应用程序防护方法的流程图。
32.图3是本技术实施例三web应用程序防护方法的流程图。
33.图4显示了本技术创建用户防护策略模板的示例。
34.图5是本技术实施例电子设备的示意框图。
具体实施方式
35.为了详细说明本技术的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。
36.实施例一
37.请参阅图1，本技术公开了一种基于rasp的web应用程序防护方法，包括：
38.101、创建多个用户防护策略模板，每个用户防护策略模板包括至少一个安全漏洞防护规则。
39.在可选的实施方式中，根据不同的应用创建各自对应的用户防护策略模板，进而可以为不同应用针对性、个性化地创建防护策略。
40.在可选的实施方式中，根据应用的不同场景创建各自对应的用户防护策略模板，进而可以为应用的不同场景针对性地创建防护策略。
41.请参阅图4，其显示了创建用户防护策略模板的示例。在该示例中，每个用户防护
策略模板中的安全漏洞防护规则从预设的防护规则库中选取，防护规则库存储有若干安全漏洞防护规则。
42.通常，每个用户防护策略模板包括多个安全漏洞防护规则，用户可以根据防护规则库中的若干安全漏洞防护规则进行自由组合来形成不同的用户防护策略模板，进而使用户可以根据需要快速自定义地创建对应的用户防护策略模板。
43.具体地，防护规则库中的安全漏洞防护规则包括：不安全的反序列化攻击、目录遍历攻击、不安全的文件操作攻击、表达式攻击、sql注入攻击、服务器端请求伪造攻击、存储型跨站脚本攻击、反射型跨站脚本攻击。当然，防护规则库中的安全漏洞防护规则并不局限于上述列举的安全漏洞防护规则，比如，在上述列举的安全漏洞防护规则的基础上还可以包括其他的安全漏洞防护规则，另外，也可以只包括上述列举的安全漏洞防护规则中的部分。
44.102、从多个用户防护策略模板选择待下发的用户防护策略模板。
45.用户可以根据目标服务器中的应用安全防护的需要从多个预先创建的用户防护策略模板中选择合适的用户防护策略模块，进而便于进行更个性化、更有针对性的安全防护。
46.103、下发选择的用户防护策略模板至目标服务器的探针，探针利用rasp技术加载在目标服务器的web容器。
47.具体地，上述web应用程序防护方法在portal端执行。由于目标服务器的web容器利用rasp技术加载有探针，探针可以与portal端进行通讯，进而可以利用探针来接收portal端下发的用户防护策略模板以利用该用户防护策略模板进行安全防护。
48.本技术可以预先创建多个用户防护策略模板，并可根据目标服务器的防护需要选择并下发用户防护策略模板至目标服务器的探针，进而目标服务器的探针可以利用该用户防护策略模板对web容器中的应用进行防护。本技术使用户可以根据实际业务通过portal端进行防护策略模板的随意、个性化的创建，有利于对产线上的真实应用的不同场景进行针对性的实时防护。本技术探针可利用包含多个安全漏洞防护规则的用户防护策略模板同时对目标服务器中的多个安全漏洞进行实时安全防御，本技术可以利用多维度的安全防护策略更好地保护应用的安全。而且，本技术基于rasp技术的探针可以对web服务器深层次的安全防御，精确的对攻击事件进行阻断和上报，且不用使用客户源代码，能够保护私有应用的隐私，还具有容易部署、成本低、普适性高的优点。
49.实施例二
50.请参阅图2，本技术公开了一种基于rasp的web应用程序防护方法，包括：
51.201、利用rasp技术在目标服务器的web容器加载探针。
52.rasp技术是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。rasp技术可以快速的将安全防御功能整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。该技术不会影响应用程序的设计，因为rasp的检测和保护功能是在应用程序运行的系统上运行的。传统的安全漏洞攻击防御技术通常是通过安装防火墙，而安装的防火墙不管是串联的部署模式，还是并
联部署模式都需要用到用户的源代码，容易泄露保护应用的隐私，而通过rasp技术加载rasp探针则不需要使用客户源代码，能够保护私有应用的隐私。
53.202、利用探针接收portal端下发的用户防护策略模板，portal端创建有多个用户防护策略模板，每个用户防护策略模板包括至少一个安全漏洞防护规则。
54.由于web容器利用rasp技术加载有探针，探针可以与portal端进行通讯，进而可以利用探针来接收portal端下发的用户防护策略模板以利用该用户防护策略模板进行安全防护。
55.在可选的实施方式中，在portal端根据不同的应用创建各自对应的用户防护策略模板，进而可以为不同应用个性化、针对性地创建防护策略。
56.在可选的实施方式中，在portal端根据应用的不同场景创建各自对应的用户防护策略模板，进而可以为应用的不同场景针对性地创建防护策略。
57.请参阅图4，其显示了portal端创建用户防护策略模板的示例。在该示例中，每个用户防护策略模板中的安全漏洞防护规则从预设的防护规则库中选取，防护规则库存储有若干安全漏洞防护规则。
58.通常，每个用户防护策略模板包括多个安全漏洞防护规则，用户可以根据防护规则库中的若干安全漏洞防护规则进行自由组合来形成不同的用户防护策略模板，进而使用户可以根据需要快速自定义地创建对应的用户防护策略模板。
59.具体地，防护规则库中的安全漏洞防护规则包括：不安全的反序列化攻击、目录遍历攻击、不安全的文件操作攻击、表达式攻击、sql注入攻击、服务器端请求伪造攻击、存储型跨站脚本攻击、反射型跨站脚本攻击。当然，防护规则库中的安全漏洞防护规则并不局限于上述列举的安全漏洞防护规则，比如，在上述列举的安全漏洞防护规则的基础上还可以包括其他的安全漏洞防护规则，另外，也可以只包括上述列举的安全漏洞防护规则中的部分。
60.203、通过探针接收的用户防护策略模板对web容器中的应用进行防护，即根据接收到的用户防护策略模板中的安全漏洞防护规则对web容器中的应用进行防护。
61.在一些实施方式中，探针基于其防护引擎可以对web容器中的应用进行组件安全性检测、组件版本检测、漏洞数据库比对以及漏洞信息上报。
62.具体来讲，探针利用用户防护策略模板中的安全漏洞防护规则对web容器中的应用进行组件安全性检测，探针能够通过将组件与开源组件库中的组件进行比对来检测组件的版本，探针能够将检测到的漏洞与漏洞数据库中的漏洞进行比对以对漏洞进行确认且能够将检测到的漏洞相关信息上报至portal端。
63.在一些实施方式中，将对web容器中的应用进行防护过程中的安全攻击信息进行汇总；如果存在安全漏洞，则进行实时防护或者关闭当前应用。具体地，可以根据用户在portal端的配置，关闭当前应用，等待线下增强。
64.本技术可以预先创建多个用户防护策略模板，并可根据目标服务器的防护需要选择并下发用户防护策略模板至目标服务器的探针，进而目标服务器的探针可以利用该用户防护策略模板对web容器中的应用进行防护。本技术使用户可以根据实际业务通过portal端进行防护策略模板的随意、个性化的创建，有利于对产线上的真实应用的不同场景进行针对性的实时防护。本技术探针可利用包含多个安全漏洞防护规则的用户防护策略模板同
时对目标服务器中的多个安全漏洞进行实时安全防御，本技术可以利用多维度的安全防护策略更好地保护应用的安全。而且，本技术基于rasp技术的探针可以对web服务器深层次的安全防御，精确的对攻击事件进行阻断和上报，且不用使用客户源代码，能够保护私有应用的隐私，还具有容易部署、成本低、普适性高的优点。
65.实施例三
66.请参阅图3，本技术公开了一种基于rasp的web应用程序防护方法，包括：
67.301、创建多个用户防护策略模板，每个用户防护策略模板包括至少一个安全漏洞防护规则；
68.302、从多个用户防护策略模板选择待下发的用户防护策略模板；
69.303、下发选择的用户防护策略模板至目标服务器的探针，探针利用rasp技术加载在目标服务器的web容器；
70.304、通过探针接收的用户防护策略模板对web容器中的应用进行防护。
71.本技术可以预先创建多个用户防护策略模板，并可根据目标服务器的防护需要选择并下发用户防护策略模板至目标服务器的探针，进而目标服务器的探针可以利用该用户防护策略模板对web容器中的应用进行防护。本技术使用户可以根据实际业务通过portal端进行防护策略模板的随意、个性化的创建，有利于对产线上的真实应用的不同场景进行针对性的实时防护。本技术探针可利用包含多个安全漏洞防护规则的用户防护策略模板同时对目标服务器中的多个安全漏洞进行实时安全防御，本技术便于利用多维度的安全防护策略更好地保护应用的安全。而且，本技术基于rasp技术的探针可以对web服务器深层次的安全防御，精确的对攻击事件进行阻断和上报，且不用使用客户源代码，能够保护私有应用的隐私，还具有容易部署、成本低、普适性高的优点。
72.实施例四
73.请结合图1至图5，本技术公开了一种电子设备，包括：
74.处理器30；
75.存储器40，其中存储有处理器30的可执行指令；
76.其中，处理器30配置为经由执行可执行指令来执行如前所述的web应用程序防护方法。
77.实施例五
78.请结合图1至图4，本技术公开了一种计算机可读存储介质，其上存储有程序，程序被处理器执行时实现如前所述的web应用程序防护方法。
79.实施例六
80.本技术实施例公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行上述web应用程序防护方法。
81.应当理解，在本技术实施例中，所称处理器可以是中央处理模块(centralprocessing unit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digitalsignal processor，dsp)、专用集成电路(application specificintegrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可
编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
82.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序指令相关的硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(random accessmemory，ram)等。
83.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
84.以上所揭露的仅为本技术的较佳实例而已，不能以此来限定本技术之权利范围，因此依本技术权利要求所作的等同变化，均属于本技术所涵盖的范围。