[发明专利]防止Web系统越权访问的方法及系统

说明书

本发明提供了一种防止Web系统越权访问的方法及系统，方法包括：保存验证成功后的客户端发送的登录访问请求中的用户信息；动态分配密钥，将所述密钥与所述用户信息绑定并保存；遍历登录访问请求的应答数据，得到应答数据中的权限参数；对权限参数进行加密，获得密文数据并将密文数据返回至客户端；接收客户端发送的页面访问请求；获取页面访问请求中的密文形式的权限参数；使用所述密钥对密文形式的权限参数进行解密；解密成功则进行页面访问请求对应的业务处理，解密失败则禁止页面访问请求。始终保持客户端获取的权限参数都是密文形式，有效防止了页面访问请求被恶意篡改攻击，且统一维护页面访问请求和权限参数，降低了维护工作量。

技术领域

本发明涉及Web系统访问技术领域，尤其涉及一种防止Web系统越权访问的方法及系统。

背景技术

随着互联网的高速发展，Web系统被广泛运用，但同时也暴露出越来越多的漏洞。Web系统越权访问漏洞是Web应用常见的漏洞之一，黑客可以利用该对目标进行攻击。越权访问漏洞的形成原因是服务器端对客户端提出的数据操作请求过分信任，忽略了对该用户操作权限的判定。攻击者使用一个合法账户，即可对存在越权缺陷漏洞的其他账户数据进行非法的操作，例如查询、插入、删除、修改等常规数据库命令。同时越权访问漏洞非常隐蔽，不像一些常规的Web应用漏洞，如：SQL注入、XSS跨站脚本、命令执行漏洞有鲜明的标识，可以通过漏洞扫描工具进行识别。精明的攻击者会特别注意目标应用程序采用的逻辑方式，通过请求参数和应答结果，设法了解设计者与开发者做出的可能假设，然后通过攻击软件绕过前台界面授权验证，对请求参数进行篡改从而进行越权访问攻击。

一般的越权访问攻击表现在于恶意篡改请求参数中的权限参数(例如用户ID、权限ID等)，而服务器端没有对用户的权限参数进行二次校验判断。传统的解决方法是服务端对用户每个页面访问请求进行二次检验或者通过预先对每个用户每个页面访问请求都设置了识别策略，再根据页面访问请求与识别策略进行比较，从而进行越权访问的控制。如公开号为CN 103501304A的中国专利公开了一种控制web系统越权访问的方法，包括：接收到用户发送的页面访问请求时，根据预设的识别策略，从用户的页面访问请求中提取该用户对应的用户唯一标识信息，同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数；将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中；检测到用户提交请求页面的表单时，将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对，控制该用户的网络访问。

但是上述方法随着用户数量和功能的增加会使得维护工作变得很繁重。

发明内容

本发明所要解决的技术问题是：提供一种便于维护的防止Web系统越权访问的方法及系统。

为了解决上述技术问题，本发明采用的技术方案为：

一种防止Web系统越权访问的方法，包括：

保存验证成功后的客户端发送的登录访问请求中的用户信息；

动态分配密钥，将所述密钥与所述用户信息绑定并保存；

遍历登录访问请求的应答数据，得到应答数据中的权限参数；

对所述权限参数进行加密，获得密文数据并将密文数据返回至客户端；

接收客户端发送的页面访问请求；获取所述页面访问请求中的密文形式的权限参数；

使用所述密钥对所述密文形式的权限参数进行解密；

解密成功则进行所述页面访问请求对应的业务处理，解密失败则禁止该页面访问请求。

本发明提供的另一个技术方案为：

一种防止Web系统越权访问的系统，包括：

保存模块，用于保存验证成功后的客户端发送的登录访问请求中的用户信息；