[发明专利]一种客户端请求处理方法、装置、设备及可读存储介质

说明书

本发明公开了一种客户端请求处理方法，包括：获取客户端请求；客户端请求包括目标参数和验证参数；将目标参数和预设密钥进行拼接加密，得到安全参数；判断安全参数与验证参数是否一致；若是，则执行客户端请求；若否，则确定出现SSRF攻击，不执行客户端请求；本方法通过对各个客户端请求进行验证，执行通过验证的客户端请求，不执行未通过验证的客户端请求，以此来达到完全防御SSRF攻击的效果；此外，本发明还提供了一种客户端请求处理装置、设备及计算机可读存储介质，同样具有上述有益效果。

技术领域

本发明涉及网络安全技术领域，特别涉及一种客户端请求处理方法、装置、设备及计算机可读存储介质。

背景技术

目前，很多web应用服务器都提供了从其他的服务器上获取数据的功能。比如，用户输入一个URL，web应用服务器可以根据该URL获取图片，下载文件，读取文件内容等。

但是，这个功能如果被恶意使用，攻击者可以利用存在漏洞的web应用服务器作为代理，攻击远程或者本地的服务器。这种形式的攻击称为服务端请求伪造(Server-sideRequest Forgery，SSRF)攻击。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。当web应用服务器提供的这些功能未对提交的URL参数值做严格的限制，如请求协议限制、内外访问限制等，攻击者很可能会利用web应用服务器的这种缺陷，突破外网无法访问内网的限制，探测内网架构、进而攻击内网中的脆弱系统等。现有技术中，通过设立黑名单可以防御部分SSRF攻击，但是黑名单存在大量已知和未知的被绕过方法，无法完全防御SSRF攻击。

因此，如何解决无法完全防御SSRF攻击的问题，是本领域技术人员需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种客户端请求处理方法、装置、设备及计算机可读存储介质，解决了现有技术无法完全防御SSRF攻击的问题。

为解决上述技术问题，本发明提供了一种客户端请求处理方法，包括：

获取客户端请求；所述客户端请求包括目标参数和验证参数；

将所述目标参数和预设密钥进行拼接加密，得到安全参数；

判断所述安全参数与所述验证参数是否一致；

若是，则执行所述客户端请求；

若否，则确定出现SSRF攻击，不执行所述客户端请求。

可选的，将所述目标参数和预设密钥进行拼接加密，得到安全参数，包括：

对所述目标参数进行UrlEncode编码，得到编码参数；

将所述预设密钥和所述编码参数按照预设拼接规则进行拼接，得到拼接参数；

对所述拼接参数进行编码加密处理，得到所述安全参数。

可选的，对所述拼接参数进行编码加密处理，得到所述安全参数，包括：

对所述拼接参数进行编码处理，得到编码字符串；

对所述编码字符串进行不可逆加密处理，得到所述安全参数。

可选的，在获取所述客户端请求中的目标参数和验证参数之后，在利用所述目标参数和预设密钥进行计算之前，还包括：

判断所述验证参数是否为空参数；

若否，则执行利用所述目标参数和预设密钥进行计算，得到安全参数的步骤；

若是，则确定出现SSRF攻击，不执行所述客户端请求。

本发明还提供了一种客户端请求处理装置，包括：