一种XXE攻击防御方法、装置、设备及存储介质与流程

本申请涉及网络安全领域，特别涉及一种xxe攻击防御方法、装置、设备及存储介质。

背景技术：

1、由于业务需求，多web(互联网总称)应用程序往往会采用xml(extensible markuplanguage，可扩展标记语言)格式进行数据传输。当应用程序解析xml输入时，若没有禁止外部实体的加载，导致可加载恶意外部文件，将可能存在xxe(xml external entityinjection，xml外部实体注入漏洞)漏洞，该漏洞可导致攻击者随意造成文件读取、内网端口扫描、命令执行等危害。

2、现有的技术手段一般都侧重于对xxe漏洞的检测，缺乏后续如何阻断xxe攻击和如何捕获到利用xxe进行攻击的攻击者身份信息。

3、因此，目前本领域技术人员迫切需要解决的技术问题是，如何及时有效地阻断攻击并且获取攻击者身份信息。

技术实现思路

1、有鉴于此，本申请的目的在于提供一种xxe攻击防御方法、装置、设备及存储介质，解决了现有技术中不能及时有效地阻断攻击并且获取攻击者身份信息的问题。

2、为解决上述技术问题，本申请提供了一种xxe攻击防御方法，包括：

3、根据规则匹配确定满足xxe攻击特征的post请求；

4、当所述post请求中存在有效的xxe攻击时，则将所述post请求丢弃，并将预设数据包返回到攻击者终端，利用所述预设数据包中的js代码访问jsonp探针获取攻击者身份信息；

5、利用所述攻击者身份信息对所述xxe攻击进行防御。

6、可选的，所述根据规则匹配确定满足xxe攻击特征的post请求，包括：

7、获取网站业务中的http数据包和预设snort规则；

8、利用所述预设snort规则对所述http数据包进行特征匹配，确定符合xxe攻击特征的post请求。

9、可选的，所述获取预设snort规则，包括：

10、获取预设snort规则，所述预设snort规则至少包括传输数据符合xml特征、声明中引入外部实体的格式特征和利用预设协议符合攻击协议特征的一项。

11、可选的，所述post请求中存在有效的xxe攻击，包括：

12、将所述post请求中的外部实体地址替换为预设dnslog服务器地址；

13、当所述预设dnslog服务器监听到预设的网络dns请求，则所述post请求中存在有效的xxe攻击。

14、可选的，还包括：

15、将所述外部实体地址进行记录，利用所述外部实体地址进行xxe攻击检测。

16、可选的，所述将预设数据包返回到攻击者终端，利用所述预设数据包中的js代码访问jsonp探针获取攻击者身份信息，包括：

17、将所述预设数据包返回到所述攻击者终端；

18、通过所述攻击者终端加载所述预设数据包中的js代码，向所述访问jsonp探针发出请求；

19、当所述攻击者终端中发出所述xxe攻击的浏览器未清理cookie，则通过所述浏览器获取所述攻击者身份信息。

20、可选的，所述post请求中存在有效的xxe攻击，包括：

21、当所述xxe攻击为回显型xxe攻击时，则通过接收到预设服务器文件或返回预设内容确定所述post请求中存在有效xxe攻击。

22、本申请还提供了一种xxe攻击防御装置，包括：

23、post请求确定模块，用于根据规则匹配确定满足xxe攻击特征的post请求；

24、攻击者身份信息获取模块，用于当所述post请求中存在有效的xxe攻击时，则将所述post请求丢弃，并将预设数据包返回到攻击者终端，利用所述预设数据包中的js代码访问jsonp探针获取攻击者身份信息；

25、防御模块，用于利用所述攻击者身份信息对所述xxe攻击进行防御。

26、本申请还提供了一种xxe攻击防御设备，包括：

27、存储器，用于存储计算机程序；

28、处理器，用于执行所述计算机程序时实现上述的xxe攻击防御方法的步骤。

29、本申请还提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的xxe攻击防御方法的步骤。

30、可见，本申请通过根据规则匹配确定满足xxe攻击特征的post请求；当post请求中存在有效的xxe攻击时，则将post请求丢弃，并将预设数据包返回到攻击者终端，利用预设数据包中的js代码访问jsonp探针获取攻击者身份信息；利用攻击者身份信息对xxe攻击进行防御。本方法可以识别出有效的xxe攻击，并对该攻击进行拦截处理和利用探针请求获取攻击者信息，利用攻击者信息对xxe攻击进行防御。同时，正常的业务请求不受影响。

31、此外，本申请还提供了一种xxe攻击防御装置、设备及存储介质，同样具有上述有益效果。

技术特征：

1.一种xxe攻击防御方法，其特征在于，包括：

2.根据权利要求1所述的xxe攻击防御方法，其特征在于，所述根据规则匹配确定满足xxe攻击特征的post请求，包括：

3.根据权利要求2所述的xxe攻击防御方法，其特征在于，所述获取预设snort规则，包括：

4.根据权利要求1所述的xxe攻击防御方法，其特征在于，所述post请求中存在有效的xxe攻击，包括：

5.根据权利要求4所述的xxe攻击防御方法，其特征在于，还包括：

6.根据权利要求1至5任一项所述的xxe攻击防御方法，其特征在于，所述将预设数据包返回到攻击者终端，利用所述预设数据包中的js代码访问jsonp探针获取攻击者身份信息，包括：

7.根据权利要求1所述的xxe攻击防御方法，其特征在于，所述post请求中存在有效的xxe攻击，包括：

8.一种xxe攻击防御装置，其特征在于，包括：

9.一种xxe攻击防御设备，其特征在于，包括：

10.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的xxe攻击防御方法的步骤。

技术总结
本申请公开了一种XXE攻击防御方法、装置、设备及存储介质，应用于网络安全领域，包括：根据规则匹配确定满足XXE攻击特征的POST请求；当POST请求中存在有效的XXE攻击时，则将POST请求丢弃，并将预设数据包返回到攻击者终端，利用预设数据包中的JS代码访问JSONP探针获取攻击者身份信息；利用攻击者身份信息对XXE攻击进行防御。本方法可以识别出有效的XXE攻击，并对该攻击进行拦截处理和利用探针请求获取攻击者信息，利用攻击者信息对XXE攻击进行防御。同时，正常的业务请求不受影响。

技术研发人员：胡若凡,龚子倬
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：
技术公布日：2024/1/16