本發明涉及一種降低越權漏洞風險的企業微信應用代理系統，包括：部署在外網的企業微信本地版客戶端；部署在內網的應用服務器；部署在內網的應用代理，所述應用代理部署在企業微信本地版接入機上，或者部署在獨立的應用代理服務器上；所述企業微信本地版客戶端內嵌的代理機制引導流量僅訪問應用代理，并由應用代理進行代理訪問企業微信輕應用服務，并返回結果給企業微信本地版客戶端。本發明的企業微信應用代理系統通過部署應用代理之后，企業微信本地版客戶端可以通過應用代理安全、可控的訪問企業微信輕應用服務，以實現企業微信本地版客戶端對企業微信應用或短信、郵件網關等相關服務的代理訪問，保證了信息的安全和保密性。

技術領域

本發明涉及一種應用代理系統，特別是涉及一種降低越權漏洞風險的企業微信應用代理系統。

背景技術

目前互聯網中存在的最嚴重的漏洞之一是越權訪問這類漏洞，如在URL越權漏洞中，利用URL傳入參數的可猜測性，通過變更輸入的參數值，就可能造成橫向越權訪問，拿到他人私有信息。URL越權漏洞是一種危害非常大的業務邏輯漏洞，它可以直接繞過基礎的網絡安全服務防御，越權漏洞發現難度大。越權漏洞能夠被攻擊者利用，造成越權訪問，導致用戶敏感信息的泄漏。

在目前企業微信使用過程中，漏洞出現頻繁。其中在一次使用企業微信時，對企業微信6個應用進行安全掃描，共發現嚴重問題201個、高危問題60個、中危問題79個、低危問題826個。經過大量時間的修正、打補丁，共修復嚴重問題172個、高危問題35個、低危問題826個，消耗了巨大的人力物力。這些漏洞可以歸納為同一類型漏洞，即用戶越權漏洞，存在很大的風險。

因此，在使用企業微信時，無法控制對企業微信本地版客戶端對互聯網資源的訪問。為了信息的安全和保密性，有必要尋找一種降低企業微信內輕應用越權漏洞風險的系統。

發明內容

本發明的目的是針對企業微信內輕應用使用時的信息的安全和保密性，提出一種降低越權漏洞風險的企業微信應用代理系統，以降低越權漏洞風險，實現企業微信本地版的PC和手機客戶端通過應用代理安全、可控的訪問企業微信輕應用服務。

為實現上述目的，本發明提供了一種降低越權漏洞風險的企業微信應用代理系統，包括：

部署在外網的企業微信本地版客戶端；

部署在內網的應用服務器，所述應用服務器提供企業微信輕應用服務；

部署在內網的應用代理，所述應用代理部署在企業微信本地版接入機上，或者部署在獨立的應用代理服務器上；所述應用代理提供對應企業微信本地版集群所有企業微信本地版客戶端對企業微信輕應用訪問的http/https代理，所述應用服務器通過應用網關與應用代理建立連接；

在啟用應用代理后，所述企業微信本地版客戶端內嵌的代理機制引導流量僅訪問應用代理，并由應用代理進行代理訪問企業微信輕應用服務，并返回結果給企業微信本地版客戶端。

優選地，所述企業微信本地版客戶端和應用代理之間使用https加密訪問。

優選地，所述應用代理在啟用后，將對企業微信輕應用訪問的Ticket進行檢測，僅代理帶有合法Ticket的訪問到企業微信輕應用服務上。

優選地，所述應用代理僅在企業微信內H5頁面內執行，所述企業微信輕應用頁面在企業微信內置的webview內執行。

優選地，所述企業微信應用代理系統的網絡訪問策略包括：

互聯網訪問接入服務器的80/443和8080這2個TCP端口；

接入服務器訪問互聯網的80/8080/443/2195/2196這5個TCP端口；

接入服務器訪問存儲/邏輯服務器的80/8080這2個TCP端口；