| 发明名称 | 一种基于表单置乱的网站安全保护方法与装置 | ||
| 摘要 | 本发明公开了一种基于表单置乱的网站安全保护方法与装置,对页面上的form表单进行变形,变形的方式包括对form表单中的字段名进行随机化处理,即将字段名变成一段无规律的字符串;调换字段之间的位置;在form表单中增加干扰字段。通过这样的方式,用户能够无差别地使用网站所提供的服务,但是对于实施自动攻击的恶意行为来说,变形之后的网页表单没有规律,从而攻击者很难根据表单的字段名来进行攻击。这种方式能够有效地阻止恶意攻击行为,包括CSRF、SQL注入、撞库、浏览器中间人攻击、信息泄漏等。 | ||
| 申请公布号 | CN106506462A | 申请公布日期 | 2017.03.15 |
| 申请号 | CN201610906183.2 | 申请日期 | 2016.10.18 |
| 申请人 | 傅书豪 | 发明人 | 傅书豪;王应军 |
| 分类号 | H04L29/06(2006.01)I;G06F21/54(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 武汉科皓知识产权代理事务所(特殊普通合伙) 42222 | 代理人 | 魏波 |
| 主权项 | 一种基于表单置乱的网站安全保护方法,其特征在于,包括以下步骤:步骤1:选择需要进行参数名随机化的PHP程序,并将PHP程序的源代码作为输入来进行分析;步骤2:为PHP程序添加一个表单置乱的表单置乱库,用于为之后的表单置乱提供参数名随机化方法,包括对参数名进行随机化和对随机化后的参数名进行反解;步骤3:分析整个PHP程序的源代码,找到其中的有form表单的页面;步骤4:对form表单进行分析,找到其中敏感的表单字段以及表单对应的后台的处理程序;所述敏感字段包括用户名字段、密码字段、验证码字段;步骤5:对步骤4中所分析出来的敏感表单字段调用在步骤2中所引入的表单置乱库中的参数名随机化方法对这些敏感字段的参数名进行随机化;步骤6:对在步骤4中所分析出来的form表单后台处理程序中引入在步骤2中的表单置乱库对在步骤5中的已经随机化的参数名进行随机化反解;步骤7:重复步骤4、步骤5、步骤6直到将整个PHP程序都分析完毕,最后得到的就是已经进行表单置乱保护的PHP程序。 | ||
| 地址 | 430070 湖北省武汉市洪山区珞狮南路497号7-301 | ||