一種用于提供訪問頁面的方法與設備的制造方法
【技術領域】
[0001]本申請涉及計算機領域,尤其涉及一種用于提供訪問頁面的技術。
【背景技術】
[0002]XSS (Cross Site Scripting,跨站腳本攻擊)是目前互聯網上最常見的攻擊類型,攻擊者可以通過XSS攻擊WEB網站,達到獲得該WEB網站用戶的敏感信息(比如用戶名密碼等)、偽造用戶身份等目的,是對WEB安全威脅最大的攻擊類型之一。
[0003]目前,防御XSS攻擊通常采用的方式包括如下兩種:
[0004]I)檢測訪問頁面的漏洞利用漏洞掃描系統所設置的WEB爬蟲將WEB網站上所有的URL爬取下來,然后構造一個帶有XSS攻擊屬性的特殊URL,向這個網站上的所有URL逐條發起探測請求,所述漏掃系統會檢測WEB服務器返回結果中的字符判斷此頁面是否存在漏洞。WEB網站管理員根據掃描的結果修復網站上的漏洞。但是,該種方式由于需要通過爬蟲分析頁面文本中的URL字符串才能構造漏洞探測請求,在WEB2.0時代,WEB網站上大量使用腳本(javascript)實現動態效果。其中,包含URL的動態生成,這就給爬蟲爬取URL造成了很大困難,爬不到URL就會產生漏報;漏掃的檢測原理是通過構造攻擊請求-檢查響應文本的方式進行攻擊探測,這種靜態文本檢測方式僅能發現一些比較簡單的漏洞;漏掃是個通用的掃描系統,它是通過一些預設的規則發現大量網頁中的典型漏洞,然而攻擊者的漏洞發現方法通常是針對網站上特定業務做深入挖掘,在這個過程中還會使用一些不為人知的手段,這是漏洞掃描系統力所不能及的。
[0005]2)采用WAF技術(Web Applicat1n Firewall, Web應用防護)檢測頁面訪問請求的漏洞。其中,技術人員將一套或多套軟硬件WAF系統部署在WEB網站之前,瀏覽器向服務器發送的頁面訪問請求首先需要經過WAF系統,所述WAF系統根據特定的規則檢測瀏覽器請求中的字符,判斷其中是否存在攻擊特征。對于惡意請求WAF會進行阻斷,對于正常請求會給予放行。該種方式的缺點在于,WAF部署在WEB網站之前,接收和轉發所有發往WEB網站的請求。出于性能的限制,WAF只能根據規則檢查發往WEB服務器請求中的靜態文本,用于防護諸如SQL注入、CSRF(Cross-site request forgery,跨站請求偽造)等攻擊類型比較有效,然而對于精心構造的XSS攻擊請求則力不從心。WAF只能檢測頁面訪問請求中的字符,如果網站在WAF部署之前就已經遭受了存儲型XSS攻擊,那么即便之后部署了 WAF,也無法檢測和防護已遭受的攻擊造成的危害。
[0006]申請內容
[0007]本申請的目的是提供一種用于提供訪問頁面的方法與設備。
[0008]根據本申請的一個方面,提供了一種用于提供訪問頁面的方法,所述方法包括:
[0009]獲取網絡設備所發送的、待提供至用戶設備的訪問頁面;
[0010]確定與所述訪問頁面相對應的XSS處理模塊;
[0011 ] 將所述XSS處理模塊與所述訪問頁面轉發至所述用戶設備,其中,所述XSS處理模塊在所述用戶設備加載所述訪問頁面時被執行以處理所述訪問頁面中的XSS信息。
[0012]根據本申請的另一方面,還提供了一種用于提供訪問頁面的設備,所述設備包括:
[0013]第一裝置,用于獲取網絡設備所發送的、待提供至用戶設備的訪問頁面;
[0014]第二裝置,用于確定與所述訪問頁面相對應的XSS處理模塊;
[0015]第三裝置,用于將所述XSS處理模塊與所述訪問頁面轉發至所述用戶設備,其中,所述XSS處理模塊在所述用戶設備加載所述訪問頁面時被執行以處理所述訪問頁面中的XSS信息。
[0016]與現有技術相比,本申請通過按照預設的策略為所獲取的訪問頁面確定相匹配的XSS處理模塊,能夠有針對性的為每個訪問頁面設置檢測XSS信息的處理模塊,以彌補了現有技術中訪問頁面漏檢的情況;同時,本申請將所述訪問頁面和相應的XSS處理模塊發送給用戶設備,并使XSS處理模塊在所述訪問頁面被加載時運行,能確保當訪問頁面不安全時,及時提示或阻止所述訪問頁面中的異常。
【附圖說明】
[0017]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本申請的其它特征、目的和優點將會變得更明顯:
[0018]圖1示出根據本申請一個方面的一種用于提供訪問頁面的設備示意圖;
[0019]圖2示出根據本申請一個優選實施例的一種用于提供訪問頁面的設備示意圖;
[0020]圖3示出根據本申請另一個方面的一種用于提供訪問頁面的方法的流程圖;
[0021]圖4示出根據本申請一個優選實施例的一種用于提供訪問頁面的方法的流程圖;
[0022]申請附圖中相同或相似的附圖標記代表相同或相似的部件。
【具體實施方式】
[0023]下面結合附圖對本申請作進一步詳細描述。
[0024]在本申請一個典型的配置中,終端、服務網絡的設備和可信方均包括一個或多個處理器(CPU)、輸入/輸出接口、網絡接口和內存。內存可能包括計算機可讀介質中的非永久性存儲器,隨機存取存儲器(RAM)和/或非易失性內存等形式,如只讀存儲器(ROM)或閃存(flash RAM)。內存是計算機可讀介質的示例。計算機可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現信息存儲。信息可以是計算機可讀指令、數據結構、程序的模塊或其他數據。計算機的存儲介質的例子包括,但不限于相變內存(PRAM)、靜態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內存技術、只讀光盤只讀存儲器(CD-ROM)、數字多功能光盤(DVD)或其他光學存儲、磁盒式磁帶,磁帶磁磁盤存儲或其他磁性存儲設備或任何其他非傳輸介質,可用于存儲可以被計算設備訪問的信息。按照本文中的界定,計算機可讀介質不包括非暫存電腦可讀媒體(transitory media),如調制的數據信號和載波。
[0025]圖1示出根據本申請一個方面的一種用于提供訪問頁面的設備,其中,提供訪問頁面的設備2包括第一裝置21、第二裝置22和第三裝置23。具體地,第一裝置21獲取網絡設備3所發送的、待提供至用戶設備I的訪問頁面;第二裝置22確定與所述訪問頁面相對應的XSS處理模塊;第三裝置23將所述XSS處理模塊與所述訪問頁面轉發至所述用戶設備1,其中,所述XSS處理模塊在所述用戶設備I加載所述訪問頁面時被執行以處理所述訪問頁面中的XSS信息。
[0026]在此,所述提供訪問頁面的設備2可以與所述網絡設備3公用,也可以位于所述網絡設備3和用戶設備I之間。所述提供訪問頁面的設備2可由網絡主機、單個網絡服務器、多個網絡服務器集等實現。本領域技術人員應能理解上述提供訪問頁面的設備2僅為舉例,其他現有的或今后可能出現的提供訪問頁面的設備2如可適用于本申請,也應包含在本申請保護范圍以內,并在此以引用方式包含于此。在此,所述提供訪問頁面的設備2包括一種能夠按照事先設定或存儲的指令,自動進行數值計算和信息處理的電子設備,其硬件包括但不限于微處理器、專用集成電路(ASIC)、可編程門陣列(FPGA)、數字處理器(DSP)、嵌入式設備等。在此,所述網絡設備3包括但不限于:WEB服務器、服務器集群、基于云技術的服務端等。所述用戶設備I指任何能夠通過網絡訪問網頁的個人終端,其包括但不限于:個人電腦、筆記本電腦、移動設備等。
[0027]具體地,用戶設備I按照http、https等約定的通信方式將一頁面訪問請求發送至所述第一裝置21,所述第一裝置21將其轉發至網絡設備3,以便所述網絡設備3找到對應反饋的訪問頁面。其中,所述第一裝置21可僅作為轉發裝置,使得所述頁面訪問請求在所述用戶設備I和網絡設備3之間透明的傳遞。所述網絡設備3例如為WEB服務器。
[0028]優選地,所述第一裝置21獲取用戶設備I向網絡設備3所提交的頁面訪問請求;再根據預定的攻擊請求檢測規則檢測所述頁面訪問請求是否為正常訪問請求;若所述頁面訪問請求為正常訪問請求,向所述網絡設備3轉發所述頁面訪問請求,并接收所述網絡設備3基于所述頁面訪問請求所發送的、待提供至所述用戶設備I的訪問頁面;若所述頁面訪問請求為異常訪問請求,則所述第一裝置21可直接拒絕所述用戶設備I訪問網絡設備3。
[0029]在此,所述預定的攻擊請求檢測規則包括:1)檢測所述頁面訪問請求中所攜帶的內容是否包含預設的攻擊信息。例如,所述第一裝置21檢測所述頁面訪問請求所攜帶的SQL語句、CSRF(Cross-site request forgery跨站請求偽造)等中是否包含與預設的腳本信息格式相符的腳本信息,若是,則認定所述頁面訪問請求為異常的訪問請求,反之,則為正常訪問請求。其中,所述預設的腳本信息包括但不限于:javascript腳本信息。其中,所述攻擊信息包括但不限于:所攜帶的SQL語句中是否包含“〈script…>...</script〉”等。
[0030]2)根據預存儲的合法網站的鏈接列表,檢測所述頁面訪問請求中是否攜帶與所述鏈接列表不符的地址鏈接。例如,所述第一裝置21檢測所述頁面訪問請求的url標簽中是否包含不屬于預存的合法網站頁面的鏈接,若包含,則認定所述頁面訪問請求為異常的訪問請求,反之,則為正常訪問請求。
[0031]更為優選地,當所述第一裝置21確定所接收的頁面訪問