[发明专利]一种基于加盐与前端WAF防护耦合的防SQL注入系统

说明书

本发明提供一种基于加盐与前端WAF防护耦合的防SQL注入系统。所述基于加盐与前端WAF防护耦合的防SQL注入系统包括：WAF模块、中间服务模块、代理服务器和数据库；所述WAF模块的输出端与所述中间服务模块的输入端电性连接；所述中间服务模块包括中间件和网络服务。本发明提供的基于加盐与前端WAF防护耦合的防SQL注入系统，代理服务器会将存疑的SQL注入反馈给前端的WAF，实时增强WAF的防御能力，下次面对这种攻击，前端的防护就可以直接阻拦，而位于后端的代理服务器在后续的防御中则会处于兜底的状态，而且在对效率要求很高的情况下，我们可以通过调整加盐频率和检查频率来改变我们的防护等级，可以将更多的防护任务交给前端，后端则作为兜底使用。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于加盐与前端WAF防护耦合的防SQL注入系统。

背景技术

随着互联网技术的发展，数据库成为了web后端必备的组件，针对数据库的攻击层出不穷，SQL注入从20年前被恶意攻击者应用于攻击web服务起，至今为止已造成大量的攻击实例，给互联网服务厂商带来了巨大的损失。恶意攻击者可以很轻松的通过构建一条非法的SQL语句拼接在合法的输入中传入后端，造成预期之外的影响。

目前为止，针对SQL注入的防护集中在黑白名单过滤，预编译，使用安全框架和安全函数进行防护，WAF防护：在WEB页面的前端部署一个过滤装置，对于不被允许的字符，如单引号“’”，关键字“keywords”等进行剔除或转义，进行严格的字符检查后能防止大部分的SQL注入。

预编译：预编译是部分数据库提供的功能，它能先用占位符代替前端输入的关键字进行编译，执行preparement函数生成执行的语法树，再导入前端的参数，此时前端传入的参数会被直接带入执行而不进行编译，可以防止恶意语句的注入。

而WAF防护：WAF采用黑白名单，基于一定的规则进行过滤，但是恶意攻击者可以通过多种手段进行绕过，比如宽字节注入，二次注入，编码后注入等方法。WAF难以制定完美的规则，而白名单则限制了输入内容，很多场景下灵活性不足，不能满足业务需要；

预编译：预编译是一种理论上可以百分百防止注入的方法，但是在需要动态传入表，列，名的场景下，预编译并不适用。对于一些老系统，我们很难重构他们的代码来达到安全标准，采用额外的系统要比更改既有代码要容易的多。

因此，有必要提供一种基于加盐与前端WAF防护耦合的防SQL注入系统解决上述技术问题。

发明内容

本发明提供一种基于加盐与前端WAF防护耦合的防SQL注入系统，解决了老旧系统无法有效防范SQL注入，WAF防护系统无法有效获得最新的注入数据的问题。

为解决上述技术问题，本发明提供的基于加盐与前端WAF防护耦合的防SQL注入系统包括：WAF模块、中间服务模块、代理服务器和数据库；所述WAF模块的输出端与所述中间服务模块的输入端电性连接；所述中间服务模块包括中间件和网络服务，对前端传入语句已有的关键字进行加盐操作；所述代理服务器的输入端与所述中间服务模块的输出端电性连接，所述代理服务器包括反馈模块和去盐模块，并且代理服务器的输出端与所述WAF模块的输入端联接；所述数据库的输入端与所述代理服务器的输出端联接。

优选的，所述WAF模块的防火墙在前端连接客户端，在接收HTTP请求时先行对传入参数进行过滤操作。

优选的，所述中间服务模块对过滤后的请求进行接收，并且对已有的关键字进行加盐，形成加盐的SQL语句。

优选的，所述代理服务器对加盐的SQL语句进行分别和识别，疑似的SQL语句通过去盐模块进行去盐处理后，在反馈模块的反馈下将疑似SQL语句传入前端的WAF模块。

优选的，所述代理服务器对合格的语句进行去盐处理后形成标准的SQL语句，标准的SQL语句传输至所述数据库的后端进行正常的执行。