《一种隐藏表单防护方法、装置、服务器和网购平台.pdf》由会员分享,可在线阅读,更多相关《一种隐藏表单防护方法、装置、服务器和网购平台.pdf(7页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 (43)申请公布日 (21)申请号 201410797127.0(22)申请日 2014.12.19H04L 29/06(2006.01)(71)申请人 山东中创软件商用中间件股份有限公司地址 250014 山东省济南市历下区千佛山东路 41-1 号(72)发明人 奚道通 韩锋 刘金鑫(74)专利代理机构 北京集佳知识产权代理有限公司 11227代理人 王宝筠(54) 发明名称一种隐藏表单防护方法、装置、服务器和网购平台(57) 摘要本申请公开一种隐藏表单防护方法、装置、服务器和网购平台。通过HASH算法将网站的隐藏表单的原始值基于访问者的特征进行 HASH 加密,利用 H。
2、ASH 值无规律、不可预知、单向生成、无法破解的特点,防止不法分子对隐藏表单的原始值进行修改。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书1页 说明书4页 附图1页(10)申请公布号 CN 104486342 A(43)申请公布日 2015.04.01CN 104486342 A1/1 页21.一种隐藏表单的防护方法,其特征在于,包括 :获取客户端的特征信息和隐藏表单的原始值 ;根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一 HASH 值 ;利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端 ;接收客户端的反馈信息,判断所述。
3、反馈信息是否包含 HASH 值,若是,则将所述 ASH 值作为第二 HASH 值与所述第一 HASH 值进行比较 ;若所述第二 HASH 值与所述第一 HASH 值相同,则响应客户端的访问请求。2.根据权利要求1所述的方法,其特征在于,所述判断所述反馈信息是否包含HASH值,之后还包括 :若否,则拒绝所述客户端的访问请求。3.根据权利要求1所述的方法,其特征在于,所述将所述HASH值作为第二HASH值与所述第一 HASH 值进行比较,之后还包括 :若所述第二 HASH 值与所述第一 HASH 值不相同,则拒绝客户端的访问请求。4.根据权利要求 1 所述的方法,其特征在于,所述获取客户端的特征信。
4、息,包括 :获取客户端的 IP 信息。5.一种隐藏表单的防护装置,其特征在于,包括 :信息采集单元,用于获取客户端的特征信息和隐藏表单的原始值 ;HASH 值生成单元,用于根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一 HASH 值 ;替换单元,用于利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端 ;判断单元,用于接收客户端的反馈信息,判断所述反馈信息是否包含 HASH 值 ;比较单元,用于当所述反馈信息中包含 HASH 值时,则将所述 HASH 值作为第二 HASH 值与所述第一 HASH 值进行比较 ;响应单元,用于当所述第二 HASH 值与所述第一 HASH 。
5、值相同,则响应客户端的访问请求。6.根据权利要求 5 所述的装置,其特征在于,所述响应单元还用于当所述反馈信息中不包含 HASH 值时,拒绝所述客户端的访问请求。7.根据权利要求 5 所述的装置,其特征在于,所述响应单元还用于当所述第二 HASH 值与所述第一 HASH 值不相同,拒绝客户端的访问请求。8.根据权利要求 5 所述的装置,其特征在于,所述特征信息包括客户端的 IP 信息。9.一种服务器,其特征在于,包括权利要求 1 至权利要求 7 任意权利要求所述的装置。10.一种网购平台,其特征在于,包括权利要求 8 所述的服务器。权 利 要 求 书CN 104486342 A1/4 页3一种。
6、隐藏表单防护方法、装置、服务器和网购平台技术领域0001 本申请涉及计算机领域,更具体地说,涉及一种隐藏表单那防护方法、装置、服务器和网络平台。背景技术0002 现在的互联网站点包含了更丰富的内容,跟用户之间交互的数据也更复杂,一些包含复杂参数的请求和响应都会包含许多表单数据,从而提供更多的参数传递以支持丰富的 WEB 应用。有些场景比如网络购物、网上银行等站点,可能使用隐藏表单来描述页面中相关事物的数据,比如某件商品的价格、转账金额的大小等,这些数据会通过用户的业务操作而改变,然后传递到服务器从而进行最终的业务流程确认。0003 因为隐藏表单是用户不可见的页面内容,普通用户不会关心这些内容,。
7、但有着丰富网络安全知识的攻击者则有可能利用表单漏洞进行攻击进而非法获利。如果一个攻击者截获了发往服务器的请求报文,并且在修改了某条隐藏表单中的数值,如果服务器对数据的验证存在漏洞,则可能将被篡改的非法表单数据当作正常的参数进行处理,从而导致业务上的损失,攻击者则利用篡改隐藏表单获取非法利益。发明内容0004 有鉴于此,本申请提供一种隐藏表单的防护方法、装置、服务器和网购平台,以避免不法分子对隐藏表单进行修改。0005 为了实现上述目的,现提出的方案如下 :0006 一种隐藏表单的防护方法,包括 :0007 获取客户端的特征信息和隐藏表单的原始值 ;0008 根据所述特征信息和所述隐藏表单的原始。
8、值知生成相对应的第一 HASH 值 ;0009 利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端 ;0010 接收客户端的反馈信息,判断所述反馈信息是否包含 HASH 值,若是,则将所述HASH 值作为第二 HASH 值与所述第一 HASH 值进行比较 ;0011 若所述第二 HASH 值与所述第一 HASH 值相同,则响应客户端的访问请求。0012 优选的,所述判断所述反馈信息是否包含 HASH 值,之后还包括 :0013 若否,则拒绝所述客户端的访问请求。0014 优选的,所述将所述 HASH 值作为第二 HASH 值与所述第一 HASH 值进行比较,之后还包括 :001。
9、5 若所述第二 HASH 值与所述第一 HASH 值不相同,则拒绝客户端的访问请求。0016 优选的,所述获取客户端的特征信息,包括 :获取客户端的 IP 信息。0017 一种隐藏表单的防护装置,包括 :0018 信息采集单元,用于获取客户端的特征信息和隐藏表单的原始值 ;0019 HASH 值生成单元,用于根据所述特征信息和所述隐藏表单的原始值知生成相对应说 明 书CN 104486342 A2/4 页4的第一 HASH 值 ;0020 替换单元,用于利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端;0021 判断单元,用于接收客户端的反馈信息,判断所述反馈信息是否包含 H。
10、ASH 值 ;0022 比较单元,用于当所述反馈信息中包含HASH值时,则将所述HASH值作为第二HASH值与所述第一 HASH 值进行比较 ;0023 响应单元,若所述第二 HASH 值与所述第一 HASH 值相同,则响应客户端的访问请求。0024 优选的,所述响应单元还用于当所述反馈信息中不包含 HASH 值时,拒绝所述客户端的访问请求。0025 优选的,所述响应单元还用于当所述第二HASH值与所述第一HASH值不相同,拒绝客户端的访问请求。0026 优选的,所述特征信息包括客户端的 IP 信息。0027 一种服务器,包括以上内容所述的装置。0028 一种网购平台,包括以上内容所述的服务器。
11、。0029 经由上述技术方案可知,本申请公开一种隐藏表单防护方法、装置、服务器和网购平台。通过 HASH 算法将网站的隐藏表单的原始值基于访问者的特征进行 HASH 加密,利用HASH 值无规律、不可预知、单向生成、无法破解的特点,防止不法分子对隐藏表单的原始值进行修改。附图说明0030 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。0031 图 1 示出了本发明一种隐藏表单防护方法的一个。
12、实施例的流程示意图 ;0032 图 2 示出了本发明一种隐藏表单防护装置的一个实施例的流程示意图。具体实施方式0033 网络购物、网上银行等站点,可能使用隐藏表单来描述页面中相关事物的数据,比如某件商品的价格、转账金额的大小等,这些数据会通过用户的业务操作而改变,然后传递到服务器从而进行最终的业务流程确认。0034 因而具有丰富网络安全知识的攻击者则可能利用表单漏洞进行攻击进而非法获利,损坏了消费者和商家的利益。0035 为此,本发明公开了一种隐藏表单防护方法、装置、服务器和网购平台。基于 HASH算法对隐藏表单中的原始值进行加密。0036 以上为本发明的核心思想,下面将结合本发明实施例中的附。
13、图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳说 明 书CN 104486342 A3/4 页5动前提下所获得的所有其他实施例,都属于本发明保护的范围。0037 参见图 1 示出了本发明一种隐藏表单防护方法的一个实施例的流程示意图。0038 由图 1 可知,在本实施例中,该方法包括 :0039 101 :获取客户端的特征信息和隐藏表单的原始值。0040 其中,客户端的特征信息包括客户的多种信息,比如客户端的 IP 信息。隐藏表单 :指的是 WEB 交互中的表单数据带。
14、有隐藏域关键词,使得表单在页面对用户不可见,目的是为了收集和交互用户数据,格式如 。0041 102 :根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一 HASH 值。0042 其中,HASH 算法:就是把任意长度的输入变换成固定长度的输出,该输出就是HASH 值。HASH 主要用于信息安全领域中加密算法,它把一些不同长度的信息转化成杂乱的128 位的编码,这些编码值叫做 HASH 值。0043 103 :利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端。0044 104 :接收客户端的反馈信息,判断所述反馈信息是否包含 HASH 值。0045 若反馈信息中包含 HA。
15、SH 值时,则执行步骤 105 ;若否,则拒绝客户端的访问请求。0046 105 :将所述 HASH 值作为第二 HASH 值与所述第一 HASH 值进行比较。0047 若所述第二HASH值与所述第一HASH值相同,则响应客户端的访问请求 ;若所述第二HASH值与所述第一HASH值不同,则说明在客户端与服务器进行数据交互过程中,数据被恶意进行了修改,则服务器拒绝客户端的访问请求。0048 由以上可知,本发明通过 HASH 算法将网站的隐藏表单的原始值基于访问者的特征进行 HASH 加密,利用 HASH 值无规律、不可预知、单向生成、无法破解的特点,防止不法分子对隐藏表单的原始值进行修改。004。
16、9 参见图 2 示出了本发明一种隐藏表单防护装置的一个实施例的流程示意图。0050 由图 2 可知,该装置包括 :0051 信息采集单元 1,用于获取客户端的特征信息和隐藏表单的原始值 ;0052 HASH 值生成单元 2,用于根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一 HASH 值 ;0053 替换单元 3,用于利用所述第一 HASH 值替换所述隐藏表单的原始值,并发送至客户端 ;0054 判断单元 4,用于接收客户端的反馈信息,判断所述反馈信息是否包含 HASH 值 ;0055 比较单元 5,用于当所述反馈信息中包含 HASH 值时,则将所述 HASH 值作为第二HASH 值。
17、与所述第一 HASH 值进行比较 ;0056 响应单元 6,用于当所述第二 HASH 值与所述第一 HASH 值相同,则响应客户端的访问请求。另外,所述响应单元6还用于当所述反馈信息中不包含HASH值以及所述第二HASH值与所述第一 HASH 值不相同时,拒绝所述客户端的访问请求。0057 需要说明的是,本发明还公开了一种服务器和一种网购平台。所述服务器包括上述所述的一种隐藏表单防护装置。所述服务器可应用于所述网购平台中,以避免不法分子对隐藏表单中的原始值进行恶意修改。0058 最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,。
18、而不一定要求或者暗示这些实体或操作说 明 书CN 104486342 A4/4 页6之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。0059 本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。0060 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。说 明 书CN 104486342 A1/1 页7图1图2说 明 书 附 图CN 104486342 A。