技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種控制web系統越權訪問的方法和裝置。

背景技術

越權漏洞是web應用程序中一種常見的安全漏洞，攻擊者利用該漏洞可能造成大量用戶敏感數據泄密丟失、用戶資金惡意盜刷等安全問題。例如當網站的訂單信息、用戶收貨信息等功能存在越權漏洞時，攻擊者通過一個普通賬戶輕易獲得該網站所有用戶的訂單信息、收貨信息等，上述信息一旦流落到黑產或電信詐騙行業，將降低網站安全信譽度、并可能給最終用戶造成經濟損失；如果在支付環節如存在越權漏洞，未嚴格校驗用戶權限使得用戶可以濫用其他用戶的余額或積分等，造成用戶資金損失。

現有技術中，關于防御web應用越權漏洞的解決方案是，用戶登錄網站后，訪問具體功能時，后端系統會根據當前用戶是否具有相關權限，將根據判斷結果展示相關頁面或者反饋無操作權限。該方案存在比較大的缺陷是，網站系統功能較多時，應用開發人員進行權限校驗會存在遺漏，從而導致WEB應用系統的功能存在越權情況，不能從根本上解決web應用越權漏洞的問題。

發明內容

本發明實施例提供一種控制web系統越權訪問的方法和裝置，通過使得客戶端的訪問請求參數具有不可猜測性、不可遍歷性，從而從根源上杜絕web應用越權漏洞的發生。

本發明實施例提供一種控制web系統越權訪問的方法，包括：

代理服務器接收服務器發送的第一響應消息，所述第一響應消息是所述服務器通過所述代理服務器接收到客戶端的第一頁面訪問請求消息后所生成的；

所述代理服務器判斷所述第一響應消息中攜帶的第一參數是否屬于預設規則庫中配置的監控參數，若是，則對所述第一響應消息進行加密處理，并將加密后的第一響應消息發送給所述客戶端。

較佳的，在將加密后的第一響應消息發送給所述客戶端之后，還包括：

所述代理服務器接收所述客戶端發送的第二頁面訪問請求消息，判斷所述第二頁面訪問請求消息攜帶的第二參數是否屬于所述規則庫中的監控參數，若是，則對所述第二頁面訪問請求消息進行解密處理，并將解密后的第二頁面訪問請求消息發送給所述服務器，以使所述服務器根據解密后的第二頁面訪問請求消息生成第二響應消息，其中，所述第二頁面訪問請求消息是基于所述第一響應消息所生成的。

較佳的，所述對所述第一響應消息加密處理，包括：對所述第一響應消息中的參數進行加密處理；

所述對所述第二頁面訪問請求消息進行解密處理，包括：對所述第二頁面訪問請求中的參數進行解密處理。

本發明另一實施例還提供一種控制web系統越權訪問的方法，包括：

服務器接收到客戶端發送的業務創建消息，所述業務創建消息用于在所述服務器中為所述客戶端創建新業務；

所述服務器根據所述業務創建消息，生成參數信息；

所述服務器對所述參數信息進行變形處理，并將變形后的參數信息存儲至所述服務器中，以便接收到所述客戶端發送的業務訪問請求消息時，將變形后的參數信息發送給所述客戶端。

較佳的，所述將所述參數信息進行變形，并將變形后的參數信息存儲至所述服務器中，包括：

將所述參數信息進行哈希運算，并將經過哈希運算后的參數信息存儲至所述服務器的數據庫中；或者，

將所述參數信息進行修改，并將修改后的參數信息存儲至所述服務器的數據庫中。

本發明實施例還提供一種控制web系統越權訪問的裝置，包括：

第一接收模塊，用于接收服務器發送的第一響應消息，所述第一響應消息是所述服務器通過所述代理服務器接收到客戶端的第一頁面訪問請求消息后所生成的；

監控模塊，用于判斷所述第一響應消息中攜帶的第一參數是否屬于預設規則庫中配置的監控參數，若是，則對所述第一響應消息進行加密處理，并將加密后的第一響應消息發送給所述客戶端。

較佳的，所述第一接收模塊還用于：在將加密后的第一響應消息發送給所述客戶端之后，接收所述客戶端發送的第二頁面訪問請求消息；

所述監控模塊，還用于判斷所述第二頁面訪問請求消息攜帶的第二參數是否屬于所述規則庫中的監控參數，若是，則對所述第二頁面訪問請求消息進行解密處理，并將解密后的第二頁面訪問請求消息發送給所述服務器，以使所述服務器根據解密后的第二頁面訪問請求消息生成第二響應消息，其中，所述第二頁面訪問請求消息是基于所述第一響應消息所生成的。

較佳的，所述監控模塊，具體用于：對所述第一響應消息中的參數進行加密處理；