技術領域

本發(fā)明涉及到網(wǎng)絡通信技術領域，特別涉及到防御會話劫持攻擊的方法和防火墻。

背景技術

HTTP協(xié)議是無狀態(tài)的，其本身沒有將用戶提出的各種請求/響應聯(lián)系起來的機制，每一對請求/響應都是獨立的事務。實現(xiàn)有狀態(tài)的HTTP，WEB應用程序需要與用戶動態(tài)交互，維護與合法客戶端的交互狀態(tài)數(shù)據(jù)，這種動態(tài)交互過程就是會話。首先把這些狀態(tài)數(shù)據(jù)傳送到合法客戶端存儲，然后隨合法客戶端提交的請求返回進行驗證。這種狀態(tài)保存機制前提需要合法客戶端是可信的，能夠保證傳送的狀態(tài)數(shù)據(jù)的完整性和機密性。但在實際的應用中，攻擊者可以利用會話劫持漏洞竊取狀態(tài)信息，達到冒充其他可信用戶的非法訪問。當用戶在登錄認證過程中，輸入用戶名與密碼通過驗證后，應用程序向合法客戶端返回一狀態(tài)信息，該狀態(tài)信息隨用戶的下次請求返回，應用程序根據(jù)這段信息來驗證用戶身份并返回正確的響應頁面，如果這段信息被攻擊者通過某種方式劫持，攻擊者就可以繞過授權，冒充其他用戶進行非法訪問，劫持這段信息的過程就是會話劫持。會話劫持攻擊有10多種方法，常見有XSS（又稱為CSS，Cross?Site?Script，跨站腳本攻擊）會話劫持、CSRF（Cross-site?request?forgery，跨站請求偽造）、固定會話攻擊、會話令牌猜解、會話令牌蠻力、日志泄露令牌等等，目前應用層防火墻的實現(xiàn)主要是針對其中某一種方法進行防御，如XSS基于特征、CSRF基于令牌，但是，基于特征進行防御屬于被動防御，無法做到事前防御，且容易出現(xiàn)誤報和漏報；基于令牌的防御存在單一性和時間依賴性缺陷。此外，只防御其中某種攻擊，通過其他攻擊還是可以劫持會話，如果發(fā)現(xiàn)新的會話攻擊也無法防御。

發(fā)明內容

本發(fā)明的主要目的為提供一種全面、有效的防御會話劫持攻擊的方法和防火墻。

本發(fā)明提出一種防御會話劫持攻擊的方法，包括步驟：

接收合法客戶端發(fā)送的第一訪問請求，并將所述第一訪問請求發(fā)送至服務器；

接收所述服務器返回的第一響應，所述第一響應中包括第一認證令牌；

根據(jù)所述合法客戶端的網(wǎng)絡地址和所述合法客戶端的標識碼生成第一序列值，將所述第一認證令牌和第一序列值重組為第二認證令牌；

將所述第一響應中的第一認證令牌替換為所述第二認證令牌，并將包含所述第二認證令牌的所述第一響應發(fā)送至所述合法客戶端。

優(yōu)選地，所述將包含所述第二認證令牌的所述第一響應發(fā)送至所述合法客戶端的步驟之后還包括：

接收當前客戶端發(fā)送的第二訪問請求，所述第二訪問請求中包括第二認證令牌；

從所述第二認證令牌中分離出所述第一認證令牌和第一序列值；

根據(jù)當前客戶端的網(wǎng)絡地址和當前客戶端的標識碼，生成第二序列值；

當所述第二序列值與所述第一序列值相同時，確定當前客戶端為所述合法客戶端；

將所述第二訪問請求中的第二認證令牌替換為所述第一認證令牌；

將包含所述第一認證令牌的所述第二訪問請求發(fā)送至所述服務器，供所述服務器驗證所述第一認證令牌和響應所述第二訪問請求。

優(yōu)選地，所述根據(jù)合法客戶端的網(wǎng)絡地址和所述合法客戶端的標識碼，生成第一序列值的步驟具體包括：

采用隨機串和散列算法，將所述合法客戶端的網(wǎng)絡地址和所述合法客戶端的標識碼生成第一序列值。

優(yōu)選地，所述根據(jù)當前客戶端的網(wǎng)絡地址和當前客戶端的標識碼，生成第二序列值的步驟具體包括：

采用與生成第一序列值時相同的隨機串和散列算法，將當前客戶端的網(wǎng)絡地址和當前客戶端的標識碼生成第二序列值，作為第二序列值。

優(yōu)選地，所述接收合法客戶端發(fā)送的第一訪問請求的步驟之前還包括：

在所述服務器中查找一個依賴令牌訪問的頁面；

在預設時間內獲取多個訪問請求中的Cookie數(shù)據(jù)和多個響應中的Set-Cookie數(shù)據(jù)；

獲取各個所述Cookie數(shù)據(jù)和Set-Cookie數(shù)據(jù)的鍵值對；

根據(jù)各個所述鍵值對及其組合，分別生成對應的第三訪問請求；

分別采用各個所述第三訪問請求，訪問所述頁面；

接收所述頁面返回的對應于各個所述第三訪問請求的第三響應；

當所述第三響應有效時，有效的所述第三響應對應的鍵值對為所述第一認證令牌存放的位置。

本發(fā)明還提出一種防御會話劫持攻擊的防火墻，包括：