[发明专利]一种用于提高网站系统安全防御的网页地址跳变方法

说明书

本发明公开了一种用于提高网站系统安全防御的网页地址跳变方法。本发明实现如下：1、用户访问Web服务器，向网页地址跳变代理系统发送用户请求；2、网页地址跳变代理系统收到用户请求，解析用户请求，判断请求类型；3、Web服务器解析用户请求，产生相应网页信息，然后将产生的网页信息直接返回给网页地址跳变代理系统；4、网页地址跳变代理系统收到Web服务器返回的网页信息，解析网页信息，获取响应头部的cookie值；5、在网页信息中依次查找URL地址，若找到一个URL地址，检测该地址是否为系统要防护的Web服务器外的链接地址；6：网页地址代理将替换后的网页信息发送给用户。本发明有效提高网站系统的防护能力。

技术领域

本发明属于计算机技术领域，特别涉及一种用于提高网站系统安全防御的网页地址跳变方法。

背景技术

URL，统一资源定位符，唯一的标识万维网上的某个资源。通常，表示资源位置的URL是维持不变的，这极大地方便了黑客们对系统发起攻击，因为攻击目标的地址始终不变。在Web应用服务中，URL用于表示网页地址。

当前Web的主要攻击手段有SQL注入、XSS攻击、CRSF攻击、DoS攻击。这些攻击手段都是基于攻击对象的URL地址进行多次测试，根据测试结果发现漏洞，然后利用漏洞，渗透到系统，进一步进行用户提权，数据偷取等破坏。

为了有效防止黑客进行攻击，可以通过将动态URL链接中文件名部分利用随机生成的字符串进行替换。简单的地址跳变主要是针对动态链接中的文件名部分进行随机变换，其能解决几个问题：(1)减少了注入点；(2)采用随机方式生成用于替换动态链接地址的虚拟静态链接地址，使得攻击者无法伪造攻击代码；(3)在不同浏览器、不同机器上访问网站页面时，其用于替换动态链接地址的虚拟静态链接地址都会不同，这使得攻击者无法预测其他用户能访问系统的虚拟静态地址，可有效地解决XSS、代码注入、链接钓鱼等攻击。

但简单的地址跳变技术也存在几个问题：(1)不能防范直接利用已知的URL地址，进行不带参数的访问攻击；(2)同一网站的不同页面中包含的同一URL链接即使是同一用户进行访问，其防护也是不同的；(3)不能隐藏网站的拓扑结构；(4)不能将同一用户的访问进行关联。

为了解决简单地址跳变的上述问题，提高地址跳变技术的安全防御能力，我们提出一种新的地址跳变技术解决方案。除了进行简单的动态链接中的文件名替换变换外，该方案还能对其他静态地址进行跳变。此外，我们的方案还加入了网页白名单机制、URL路径转换机制、虚拟URL与IP及cookie绑定机制和数据的分布式存储机制。其中，网页白名单用于保存Web系统的一些门户地址，同时用于解决一些静态文件的不兼容问题，如CSS文件的地址变换函数导致页面无法访问问题。URL路径转换机制是指将响应信息中的相对URL地址转换为绝对URL地址，其用于解决简单的URL跳变技术会导致相对路径跳变后浏览器无法解析跳变后虚拟地址导致页面访问错误的问题。网页虚拟URL与IP及cookie绑定机制则防止黑客盗用虚拟URL进行攻击，如防止XSS攻击。虚拟URL与cookie进行绑定主要是为了将同一用户的访问关联起来，使得可更有效地分析网络访问中的用户行为，进行检测来提高网站系统的安全防御能力。URL地址跳变的相关数据，如cookie与用户映射表、用户与URL映射表、虚拟URL与真实URL映射表，利用分布式存储方式进行存取，目的是用于提高系统的可扩展性，增大系统的健壮性，并提供负载均衡的支持。

术语定义

1、静态页面请求：HTTP请求的URL地址请求字段中不包含动态字段和动态字段值的，其Request Method为GET，如请求中request URL字段值为：http://img1.cache.netease.com/f2e/include/common_nav/images/topapp.jpg

2、动态页面请求：HTTP请求的URL地址请求字段中包含动态字段和动态字段值的，其Request Method为GET，其动态字段值不变，如请求中request URL字段值为：