[发明专利]一种Web安全防护方法及系统

说明书

一种Web安全防护方法及系统，涉及Web安全防护实现技术，基于家庭网关，方法包括：预先设置一个匹配表，其包括表单名称和表单对应的合法数据模式；Web服务器在浏览器读取的表单中增加一个随机会话id，Web客户端在修改后表单的数据中增加CRC码；Web服务器收到浏览器提交的修改后表单，依次检查随机会话id和CRC码，再检查所述表单的数据在所述匹配表中是否存在合法数据模式，若所述表单有一项检查不通过，则丢弃所述表单。本发明在不影响性能的前提下，降低修改工作量和修改成本，提供简单可靠的Web安全防护。

技术领域

本发明涉及Web安全防护实现技术，具体来讲涉及一种Web安全防护方法及系统。

背景技术

目前，各大运营商提供的家庭网关，除了基本的上网、电话等功能外，已开始向智能化发展，如提供安防、对智能家居的控制、远程医疗等功能。这样，家庭网关本身的安全防护功能需要加强，以应对互联网上层出不穷的黑客入侵、病毒木马和恶意代码等攻击。

由于家庭网关属于嵌入式系统，考虑到成本和性能，目前嵌入式Web Server(Web服务器)的功能比较单一，基本上无法配置安全防护功能。网站应用的大型Web Server有各种安全插件可以使用，而在家庭网关增加Web安全防护功能，一般做法是从两个方面进行修改，一个方面是在Web Client(Web客户端)页面的表单输入处增加输入合法性校验，另外一个方面是在Web服务器的表单处理处增加输入合法性校验，这样攻击者的报文即使绕过了Web客户端防护，在Web服务器的表单处也会对表单再次进行校验，进而被丢弃。但是，该方法以下三点不足：

1)由于应用系统中表单数目较多，在每个表单的Web客户端和Web服务器增加合法性检查代码，工作量非常大，修改成本较高。

2)每次表单检查需要耗费CPU资源，这对嵌入式系统来说，性能影响比较大。

3)目前攻击者较多使用自动化漏洞检测工具，该工具能够根据表单模式自动构造大规模的数据进行扫描，很可能某些数据能够通过合法性检查。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种Web安全防护方法及系统，在不影响性能的前提下，降低修改工作量和修改成本，提供简单可靠的Web安全防护。

为达到以上目的，本发明采取一种Web安全防护方法，基于家庭网关，包括：预先设置一个匹配表，其包括表单名称和表单对应的合法数据模式；Web服务器在浏览器读取的表单中增加一个随机会话id，Web客户端在修改后表单的数据中增加CRC码；Web服务器收到浏览器提交的修改后表单，依次检查随机会话id和CRC码，再检查所述表单的数据在所述匹配表中是否存在合法数据模式，若所述表单有一项检查不通过，则丢弃所述表单。

在上述技术方案的基础上，若所述表单的随机会话id和CRC码的检查通过，且所述表单的数据在所述匹配表中存在合法数据模式，则所述表单的数据合法，Web服务器采用新的随机会话id替换原有随机会话id，供浏览器回读。

在上述技术方案的基础上，所述Web服务器增加一个随机会话id包括：家庭网关进行参数配置时，浏览器向Web服务器发送读取表单的请求，Web服务器自动生成一个随机会话id，加入被读取表单的数据中，并将所述随机会话id存储在内存中。

在上述技术方案的基础上，所述Web服务器检查随机会话id包括：检查内存中是否存在所述表单携带的随机会话id，若是，继续检查CRC码；若否，丢弃所述表单。

在上述技术方案的基础上，所述Web客户端增加CRC码包括：浏览器的表单被修改后，将所述修改后表单的数据进行CRC编码，将得到的CRC码附加在修改后表单的数据中。