[发明专利]使用短暂URL密码来阻止大量攻击

说明书

描述了用于使用短暂URL密码来阻止大量攻击的方法和系统。从客户端计算设备检测要访问若干受保护的URL中的一个的请求。从客户端计算设备接收URL密码。在确定所接收到的URL密码对于若干受保护的URL中的一个有效时，将请求重新定向到受保护的URL。

技术领域

主题技术总体上涉及阻止不良行为者，并且更具体地，涉及一种利用短暂统一资源定位符(URL)密码来防止大量攻击的系统和方法。

背景技术

诸如之类的财政机构将URL暴露给互联网，这些URL被外部商家和客户客户端用于认证目的。这些URL构成安全性风险，因为URL必须接受未经认证的请求作为认证过程的一部分，同时提供进入客户的账户和财政中的路径。因此，这些URL已变成通过僵尸网络进行大量凭证填充和拒绝服务攻击的目标。

在凭证填充(credential-stuffing)的实例中，黑客可以获取被盗账户凭证并且试图使用它们来通过针对web应用的大规模自动化登录请求来访问用户账户。换句话说，可以跨与不同组织相关联的不同URL尝试大量的泄露账户凭证(例如，用户名和密码对)。任何个人被盗凭证是特定组织的账户的实际用户名和密码的可能性低；然而，通过尝试跨许多不同组织的账户收集大量的被盗凭证，可以发现潜在的用户名和密码匹配。这些类型的技术被调制解调器计算能力促进，其中可在短时间量内尝试许多用户名和密码。

虽然某些组织现在需要更鲁棒的密码或者利用诸如captcha之类的程序，但是不良行为者继续开发使许多这些要求失效的变通方法。此外，当不良行为者能够获得被盗凭证时，更鲁棒的密码不再有用。因此，为了使这样的黑客尝试处于困难境地，可以采纳用于减慢这样的大量攻击而不将合法用户拒之门外的新方法。

发明内容

根据主题技术的各个方面，描述了一种用于使用短暂URL密码来阻止大量攻击的系统。从客户端计算设备检测要访问若干受保护的URL中的一个的请求，从客户端计算设备接收URL密码。在确定所接收到的URL密码对于该URL有效时，客户端计算设备的请求被重新定向到受保护的URL。

根据主题技术的各个方面，描述了一种使用短暂URL密码来阻止大量攻击的方法。从客户端计算设备检测要访问多个受保护的URL中的一个的请求。基于由客户端计算设备下载的码本，接收URL密码。做出所接收到的URL密码所基于的码本未过期的确定。做出在先前使用的URL密码的缓存中未找到所接收到的URL密码的另一确定。做出所接收到的URL密码对由客户端设备请求的URL有效的进一步确定。客户端计算设备的请求然后被重新定向到受保护的URL。

根据本技术的各个方面，描述了一种非暂时性机器可读介质，在其上存储有可执行以用于使用短暂URL密码来阻止大量攻击的机器可读指令。从客户端计算设备检测到要访问若干受保护的URL中的一个的请求。从客户端计算设备接收URL密码。在确定所接收到的URL密码对于受保护的URL有效时，访问请求被重新定向到受保护的URL。

主题技术的附加特征和优点将在以下描述中被阐述，并且部分地将通过描述而显而易见，或者可以通过对主题技术的实践来学习。将通过所撰写的说明书及其权利要求以及附图中特别指出的结构来实现和获得主题技术的优点。

应当理解，前面的总体描述和下面的详细描述都是示例性和说明性的，并且旨在提供对所要求保护的本发明的进一步说明。

附图说明

附图被包括以提供对主题技术的进一步理解，并且被并入本说明书中并构成本说明书的一部分，附图图示了主题技术的各方面，并且与说明书一起用来说明主题技术的原理。

图1是示例性计算系统的框图，可以在该计算系统上执行使用短暂URL密码来确定客户端的合法性。

图2是适合于实现图1中的计算系统的一个或多个设备的示例性计算机系统的框图。

图3图示了用于使用短暂URL密码来确定客户端的合法性的示例性过程300。