本發(fā)明提供一種基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)。所述基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)包括：WAF模塊、中間服務(wù)模塊、代理服務(wù)器和數(shù)據(jù)庫(kù)；所述WAF模塊的輸出端與所述中間服務(wù)模塊的輸入端電性連接；所述中間服務(wù)模塊包括中間件和網(wǎng)絡(luò)服務(wù)。本發(fā)明提供的基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)，代理服務(wù)器會(huì)將存疑的SQL注入反饋給前端的WAF，實(shí)時(shí)增強(qiáng)WAF的防御能力，下次面對(duì)這種攻擊，前端的防護(hù)就可以直接阻攔，而位于后端的代理服務(wù)器在后續(xù)的防御中則會(huì)處于兜底的狀態(tài)，而且在對(duì)效率要求很高的情況下，我們可以通過(guò)調(diào)整加鹽頻率和檢查頻率來(lái)改變我們的防護(hù)等級(jí)，可以將更多的防護(hù)任務(wù)交給前端，后端則作為兜底使用。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，數(shù)據(jù)庫(kù)成為了web后端必備的組件，針對(duì)數(shù)據(jù)庫(kù)的攻擊層出不窮，SQL注入從20年前被惡意攻擊者應(yīng)用于攻擊web服務(wù)起，至今為止已造成大量的攻擊實(shí)例，給互聯(lián)網(wǎng)服務(wù)廠商帶來(lái)了巨大的損失。惡意攻擊者可以很輕松的通過(guò)構(gòu)建一條非法的SQL語(yǔ)句拼接在合法的輸入中傳入后端，造成預(yù)期之外的影響。

目前為止，針對(duì)SQL注入的防護(hù)集中在黑白名單過(guò)濾，預(yù)編譯，使用安全框架和安全函數(shù)進(jìn)行防護(hù)，WAF防護(hù)：在WEB頁(yè)面的前端部署一個(gè)過(guò)濾裝置，對(duì)于不被允許的字符，如單引號(hào)“’”，關(guān)鍵字“keywords”等進(jìn)行剔除或轉(zhuǎn)義，進(jìn)行嚴(yán)格的字符檢查后能防止大部分的SQL注入。

預(yù)編譯：預(yù)編譯是部分?jǐn)?shù)據(jù)庫(kù)提供的功能，它能先用占位符代替前端輸入的關(guān)鍵字進(jìn)行編譯，執(zhí)行preparement函數(shù)生成執(zhí)行的語(yǔ)法樹(shù)，再導(dǎo)入前端的參數(shù)，此時(shí)前端傳入的參數(shù)會(huì)被直接帶入執(zhí)行而不進(jìn)行編譯，可以防止惡意語(yǔ)句的注入。

而WAF防護(hù)：WAF采用黑白名單，基于一定的規(guī)則進(jìn)行過(guò)濾，但是惡意攻擊者可以通過(guò)多種手段進(jìn)行繞過(guò)，比如寬字節(jié)注入，二次注入，編碼后注入等方法。WAF難以制定完美的規(guī)則，而白名單則限制了輸入內(nèi)容，很多場(chǎng)景下靈活性不足，不能滿足業(yè)務(wù)需要；

預(yù)編譯：預(yù)編譯是一種理論上可以百分百防止注入的方法，但是在需要?jiǎng)討B(tài)傳入表，列，名的場(chǎng)景下，預(yù)編譯并不適用。對(duì)于一些老系統(tǒng)，我們很難重構(gòu)他們的代碼來(lái)達(dá)到安全標(biāo)準(zhǔn)，采用額外的系統(tǒng)要比更改既有代碼要容易的多。

因此，有必要提供一種基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)解決上述技術(shù)問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明提供一種基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)，解決了老舊系統(tǒng)無(wú)法有效防范SQL注入，WAF防護(hù)系統(tǒng)無(wú)法有效獲得最新的注入數(shù)據(jù)的問(wèn)題。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供的基于加鹽與前端WAF防護(hù)耦合的防SQL注入系統(tǒng)包括：WAF模塊、中間服務(wù)模塊、代理服務(wù)器和數(shù)據(jù)庫(kù)；所述WAF模塊的輸出端與所述中間服務(wù)模塊的輸入端電性連接；所述中間服務(wù)模塊包括中間件和網(wǎng)絡(luò)服務(wù)，對(duì)前端傳入語(yǔ)句已有的關(guān)鍵字進(jìn)行加鹽操作；所述代理服務(wù)器的輸入端與所述中間服務(wù)模塊的輸出端電性連接，所述代理服務(wù)器包括反饋模塊和去鹽模塊，并且代理服務(wù)器的輸出端與所述WAF模塊的輸入端聯(lián)接；所述數(shù)據(jù)庫(kù)的輸入端與所述代理服務(wù)器的輸出端聯(lián)接。

優(yōu)選的，所述WAF模塊的防火墻在前端連接客戶端，在接收HTTP請(qǐng)求時(shí)先行對(duì)傳入?yún)?shù)進(jìn)行過(guò)濾操作。

優(yōu)選的，所述中間服務(wù)模塊對(duì)過(guò)濾后的請(qǐng)求進(jìn)行接收，并且對(duì)已有的關(guān)鍵字進(jìn)行加鹽，形成加鹽的SQL語(yǔ)句。

優(yōu)選的，所述代理服務(wù)器對(duì)加鹽的SQL語(yǔ)句進(jìn)行分別和識(shí)別，疑似的SQL語(yǔ)句通過(guò)去鹽模塊進(jìn)行去鹽處理后，在反饋模塊的反饋下將疑似SQL語(yǔ)句傳入前端的WAF模塊。

優(yōu)選的，所述代理服務(wù)器對(duì)合格的語(yǔ)句進(jìn)行去鹽處理后形成標(biāo)準(zhǔn)的SQL語(yǔ)句，標(biāo)準(zhǔn)的SQL語(yǔ)句傳輸至所述數(shù)據(jù)庫(kù)的后端進(jìn)行正常的執(zhí)行。