[发明专利]一种防御文件上传漏洞的安全系统及其实施方法

权利要求书

1.一种防御文件上传漏洞的安全系统，其特征在于，涉及客户端和Web应用服务器；

客户端采用PHP安全插件的形式对浏览器进行开发，PHP安全插件包括一过滤模块和一解析执行模块；

Web应用服务器上分别部署Web应用服务平台和PHP插件发布平台，同时，一PHP处理程序与Web应用服务平台相连接，负责对Web应用服务中上传保存的文件做预先处理，所述的PHP处理程序包括一标签化处理模块和一文件头处理模块，一本地文件存储与PHP插件发布平台相连接，本地文件存储负责存放上传的文件；

所述PHP安全插件由PHP插件发布平台提供，且PHP安全插件保存有Web应用服务站点的文件头标签，便于解析处理；当用户访问目标Web应用服务时，若客户端的浏览器未安装相应的PHP安全插件，将无法解析目标Web应用服务中用户上传保存的文件，导致用户不能正常使用应有的文件访问服务；由此，目标网站会提示用户安装相应的PHP安全插件；

所述Web应用服务平台包含N个Web应用服务站点，每个Web应用服务站点都与PHP插件发布平台存在链接关系，其用户上传保存的文件都需要经过PHP处理程序做预先处理；

所述PHP处理程序负责对用户上传保存的文件内的文件头做标签化处理。

2.根据权利要求1所述的防御文件上传漏洞的安全系统，其特征在于，所述PHP安全插件中的过滤模块会对返回的文件进行过滤，过滤不通过的，则说明目标Web应用服务没有做文件头标签化处理或文件异常，则直接抛弃；过滤通过的取其标签化的文件头输出到解析执行模块。

3.根据权利要求1或2所述的防御文件上传漏洞的安全系统，其特征在于，所述PHP安全插件中的解析执行模块具备将标签化的文件头解析和执行的功能。

4.根据权利要求1或2所述的防御文件上传漏洞的安全系统，其特征在于，所述PHP处理程序中的标签化处理模块负责对用户上传保存文件内的文件头做标签化处理。

5.根据权利要求1或2所述的防御文件上传漏洞的安全系统，其特征在于，所述PHP处理程序中的文件头识别模块负责对用户上传保存的文件检查文件类型。

6.根据权利要求1或2所述的防御文件上传漏洞的安全系统，其特征在于，所述PHP插件发布平台向用户提供PHP安全插件，会依据不同的浏览器提供相应的版本。

7.根据权利要求1-6所述防御文件上传漏洞的安全系统的实施方法，其特征在于，包括步骤：

步骤1：预先处理Web应用服务中用户上传保存的文件；

步骤2：发布相关PHP安全插件并部署Web应用服务；

步骤3：在客户端浏览器上安装PHP安全插件；

步骤4：PHP安全插件处理服务器返回的请求页面；

返回的请求页面会被PHP安全插件拦截，先经过过滤模块对返回的文件进行过滤，过滤不通过的，则说明目标Web应用服务没有做文件头标签化处理或文件异常，则直接抛弃；过滤通过的取其标签化的文件头输出到解析执行模块；过滤模块对请求页面进行处理，将标签化的文件头滤出；滤出的标签化的文件头送入解析执行模块做解析、调优和执行处理。

8.根据权利要求7所述的实施方法，其特征在于，步骤1的具体内容为：在进入文件头识别模块时，对每一个文件使用对于文件内容的验证机制，检查文件的类型；文件头识别完毕后，将每一个文件送入标签化处理模块，对文件头做标签化处理。

9.根据权利要求7所述的实施方法，其特征在于，步骤2的具体内容为：在将Web应用服务用户上传保存的文件预处理完毕后，需要将封装完整的PHP安全插件及其License上传至PHP插件发布平台，并将步骤1处理完毕的Web应用文件访问服务部署上线。

10.根据权利要求7所述的实施方法，其特征在于，步骤3的具体内容为：当客户端发送正常请求，首次访问目标Web应用服务时，Web应用服务会提示用户安装PHP安全插件，并提供PHP插件发布平台的链接地址；用户在客户端的浏览器上将PHP安全插件安装完毕后，即可正常对目标Web应用服务进行文件访问。