[发明专利]一种Web应用系统SessionID攻击的识别方法

说明书

本发明涉及一种Web应用系统SessionID攻击的识别方法，用户验证通过后创建SessionID，提取Session包含的信息写入特征数据库，用户每次访问页面进行特征检测，判断安全则服务器端提供服务，直至会话结束删除特征数据库中当前会话包含的信息记录。本发明通过组合验证鉴别Session是否被非授权用户利用，校验检查每次会话请求的信息确保Web业务系统认证授权成功用户的SessionID合法有效，客户端IP或User‑Agent改变则及时销毁清除Session信息，强制用户重新认证登陆系统生成新Session，有效避免用户SessionID被盗取冒充后对业务系统造成重大安全隐患，安全性更高。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种利用Web服务器端SessionID和多因素验证机制以有效检测阻断攻击的Web应用系统SessionID攻击的识别方法。

背景技术

对于Web应用安全性的重要环节是不要轻易信任来自客户端提交的数据，要进行数据必要的验证后才能在程序中使用。然而，由于Http的无状态性，为了维持来自同一个用户的不同请求之间的状态，客户端必须发送一个唯一的身份标识符SessionID来表明自己的身份。

SessionID伪造攻击是一种针对Web应用的攻击方式，攻击者通过监听、窃取、预测、暴力破解等手段获得一个有效的SessionID（标识符）后，就可以模仿当前用户的SessionID，伪装成合法用户进行Session劫持攻击，对Web应用系统造成损害。这与前面提到的安全原则是相违背的，导致了Session在Web应用程序中是十分脆弱隐患。

现有技术中，预防SessionID被劫持后攻击的方法有多种，Web程序开发者根据应用的实际需求一般采取如下措施：

1、禁止将SessionID的URL以GET的方式传递；

2、设定Cookie属性为HttpOnly；

3、对Session失效时间控制；

4、其他。

当前在Web环境中维护Session的方法有多种，如：设置URL参数、隐藏域和Cookie，其中，基于Cookie的维护是比较常用也比较安全的一种，但是，由于SessionID一般保存在Cookie中，使用Cookie会产生的风险是用户的Cookie被盗取后，Web应用将面临严重的会话劫持威胁。

发明内容

本发明解决的技术问题是，现有技术中预防SessionID被劫持后攻击的方式仍旧存在极大的风险，对于Web应用来说会话劫持威胁并没有消除，进而提供了一种优化的Web应用系统SessionID攻击的识别方法。

本发明所采用的技术方案是，一种Web应用系统SessionID攻击的识别方法，所述方法包括以下步骤：

步骤1：服务器端收到用户发出的Http请求；

步骤2：服务器端对用户进行账号密码验证，若验证失败，则请求无效，返回步骤1，否则，进行下一步；

步骤3：服务器端创建SessionID；

步骤4：从客户端浏览器http请求连接的Cookie和服务器内存中提取Session包含的信息，写入特征数据库；

步骤5：用户每次访问Web应用页面，进行特征检测；若满足被非授权用户利用的条件则返回步骤2，否则，进行下一步；

步骤6：服务器端提供服务；判断用户是否结束访问，若是，进行下一步，否则，返回步骤5；

步骤7：会话结束，删除特征数据库中当前会话包含的信息记录。