CN106657074A

CN106657074A - 一种url伪装及参数隐藏传递的方法及系统

Info

Publication number: CN106657074A
Application number: CN201611217510.XA
Authority: CN
Inventors: 江液
Original assignee: Shanghai Feixun Data Communication Technology Co Ltd
Current assignee: Shanghai Feixun Data Communication Technology Co Ltd
Priority date: 2016-12-26
Filing date: 2016-12-26
Publication date: 2017-05-10

Abstract

本发明公开了一种URL伪装及参数隐藏传递的方法及系统，本发明方法包括参数传递、过滤器响应、参数获取、参数显示四个步骤，本发明系统包括表单生产模块、过滤模块、存储模块以及重定向显示模块四个模块。本发明针对URL地址从安全角度进行了分析，目的是尽可能隐藏各类敏感信息，甚至提供一种无具体含义的URL地址，让恶意攻击者不能轻易从URL中获得关键信息进行攻击。

Description

一种URL伪装及参数隐藏传递的方法及系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种URL伪装及参数隐藏传递的方法及系统。

背景技术

URL是一个重要的信息，现有的浏览器往往会在各个页面之间传递参数，而这些参数的名称和值都会在URL地址栏中暴露出来，甚至以明文出现，有的时候参数的名称可能就是数据库中某个字段的名称,这样很不安全，极易暴露了web应用的一些关键信息，这个地址暴露了用户名及密码等敏感信息，容易被恶意攻击者伪装URL进行入侵，易遭受攻击。

具体例子如：

【https://www.xxxx.com/login？user＝admin&passwd＝123345&role＝121&ie＝utf-8&rsv_idx＝1&lang＝cn&rs_src＝0】，这个地址暴露了用户名及密码等敏感信息。

【http://www.chinawebanalytics.cn/？p＝917】这是Sidney的新博客的地址，可以分析这个博客运营了挺长的一段时间了，ID号都排到917了。

【http://adsclick.qq.com/adsclick？oid＝1112901&loc＝QQ_SX_JY_Test6&url＝http://www.52-abc.com/】这是QQ首页的右侧广告链接，里面丰富的参数告诉了我们对这些广告位的名称定义，以及跳转的目标地址。

【http://www.soso.com/q？sp＝S&sc＝web&cid＝w.q.in.sb.web&ty＝1&bn＝&op＝entry&kw＝&w＝WA】这是腾讯搜搜的“WA”结果页，告诉我们搜索关键词参数是用W变量。还有一些别的参数，也许一下子看不懂，如果有需要可再多次试验研究，就可以确定。

通过这些例子可以看出这些参数容易被恶意攻击者利用，伪装URL进行入侵，易遭受攻击。

如公开号为CN102801810A的中国发明专利所公开的一种在内容分发网络中隐藏URL的方法，用户播放器预先对请求URL中的视频文件路径进行Base64加密，然后将加密后的请求URL向CDN调度服务器请求可用的CDN节点；所述CDN调度服务器对该请求URL进行Base64解密后，根据调度策略，选择一台可用的CDN节点；所述CDN调度服务器将所述可用的CDN节点的地址返回给所述用户播放器；所述用户播放器中接受到所述可用CDN节点地址后，对请求URL中的视频文件路径进行Base64加密，然后将加密后的请求URL向所述可用的CDN节点发送视频数据请求；所述可用的CDN节点收到所述加密后的视频数据请求后，对其进行Base64解密并将所请求的视频数据发送给所述用户播放器。但是，该方法不适用于网页传递参数，且整体步骤过于繁琐。

发明内容

针对现有技术之上述不足，本发明提供了一种URL伪装及参数隐藏传递的方法及系统。

为达到上述目的，本发明采取如下技术方案：

一种URL伪装及参数隐藏传递的方法，其包括以下步骤：

步骤一，参数传递,设置表单并将所述表单设为隐藏，通过所述表单将参数以及会话建立时产生的序号存储，当页面触发表单事件时所述表单将所述参数传递至过滤器。

步骤二，过滤器响应，所述过滤器通过规则配置信息对所述表单内容进行判断，并收集符合规则的所述参数，然后所述过滤器根据所述规则配置信息中对应的目的URL进行重定向。

步骤三，参数获取，所述目的URL依据条件通过所述过滤器取得对应参数。

步骤四，参数显示，真实URL地址被重定向，并将所述参数显示于客户端。

作为本发明的优选，所述的步骤一中所述表单向所述过滤器传递的所述参数方式为消息传递。

作为本发明的优选，所述的规则配置信息如下：

<rule>

</rule>

其中<from>…</from>包含直接呈现给用户且被伪装的URL地址，<to>…</to>包含真实被重定向的URL地址。

作为本发明的优选，所述的规则配置信息采用正则表达式进行描述。

作为本发明的优选，所述步骤三中所述条件为会话建立时随机产生的序号。

作为本发明的优选，所述过滤器通过key-value数据库对所述URL内容进行存储。

作为本发明的优选，所述步骤四中真实URL地址被重定向后从所述key-value数据库将所述参数取出并显示于客户端。

本发明还公开了一种URL伪装及参数隐藏传递的系统，其包括如下模块：

表单生产模块、过滤模块、存储模块以及重定向显示模块，各模块详述如下：

所述的表单生产模块用于生成隐藏的表单，并将参数以及会话建立时产生的序号存储在所述表单内；

所述的过滤模块用于将接收到的数据通过规则配置信息进行筛选以包括符合规则的所述参数，并根据所述规则配置信息中对应的目的URL进行重定向；

所述的存储模块用于存储所述参数以及目的URL；

所述的重定向显示模块用于将真实URL地址重定向，从所述存储模块中取出所述参数，并将所述参数显示于客户端。

作为本发明的优选，所述的表单生产模块与所述过滤模块之间通过消息传递方式进行数据通讯。

作为本发明的优选，所述的存储模块设置于所述过滤模块内。

本发明具有以下有益效果：

本发明降低了网络应用遭受恶意攻击的概率，同时增加了相应的攻击成本，提升了网络安全性。

附图说明

图1为本发明的工作流程示意图；

图2为本发明的系统框图；

图3位本发明中过滤器用于记录参数的数据结构图；

图示中，1-表单生产模块；2-过滤模块；3-存储模块；4-重定向显示模块。

具体实施方式

以下是本发明的具体实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

本发明针对URL地址从安全角度进行了分析，目的是尽可能隐藏各类敏感信息，甚至提供一种无具体含义的URL地址，让恶意攻击者不能轻易从URL中获得关键信息进行攻击。

如图1所示，本发明方法中将URL分为常规部分以及参数部分，具体如一URL

【http://www.aspxfans.com:8080/news/index.asp？boardID＝5&ID＝24618&page＝1#name】，其中，协议部分、域名部分、端口部分、虚拟目录部分、文件名部分以及锚部分所能表达的内容都不会泄露用户的信息，他们所表达的内容均是一些常规内容，所以，将该些部分全部划入常规部分，而

“boardID＝5&ID＝24618&page＝1#name”的内容则涉及了包括名字、ID、当前页等具体内容，这些内容均涉及到了用户信息，如果被攻击者截获则会造成用户的信息泄露，所以将该部分与具体参数有关的部分全部划入参数部分。

本发明的最主要目的既是保护该参数部分在数据传递中不被截获，本发明方法的具体实施例包括以下步骤：

步骤一，参数传递

设置表单并将表单设为隐藏，通过表单将参数以及会话建立时随机产生的序号存储，其中的序号格式如图3所示，既是sequence No.部分的内容，参数与序号均为对应关系，既是参数被表单存储时同时存储了该参数相应生产的序号这方便了接下来将参数取出，当页面触发表单事件时，表单将参数以消息传递的方式传递至过滤器，本实施例使用消息传递(POST)方式的好处在于可以避免参数出错，在实际的浏览器使用中，参数中可能含有中文而导致某些浏览器会出错，发明人发现在火狐浏览器等类似内核的浏览器中，主要使用中get方式进行参数传递，而这个结果就是中文参数是会出错的，这样就降低了用户体验。

步骤二，过滤器响应

本实施例主要是通过过滤器的优先响应机制来过滤用户的所有请求，过滤器通过规则配置信息对接收到的表单内容进行判断，并收集符合规则的参数，将这些参数进行存储。

参数存储结构示意图如图3所示，然后过滤器根据规则配置信息中对应的真实的目的URL进行重定向，在本步骤中的执行过程中，参数被很好的伪装起来，攻击者能截获的仅仅只是伪装的URL，提升了安全性。

步骤三，参数获取

目的URL依据条件通过过滤器取得对应参数，其中所提及的条件就是序号，在图3中表示为sep1～sepN，过滤器从参数存储结构中取得对应参数，既是与序号所对应的参数部分，在图3中为Parameters description部分所包含的内容。

本实施例的参数存储结构如图3所示，采用key-value数据库实现对URL内容的存储。

步骤四，参数显示

真实URL地址被重定向后，被重定向后从参数存储结构(key-value数据库)中将参数取出并显示于客户端，其中，显示用的参数从参数存储结构中的Request部分取出。

本实施例从安全角度针对URL地址从进行了伪装及隐藏，将包含各类敏感信息的参数部分进行隐藏，并可以自定义提供一种无具体含义的URL地址，既是伪装的URL地址，而本发明的传递机制使得攻击者只能截获伪装的URL，而该URL是重写过的，所以不会暴露任何用户信息和实际有价值的参数，这样攻击者就无法从该URL中得到有价值的东西，同时将有价值的参数进行隐藏传递，直到客户端显示环节才显示出来，这就大幅度提升了安全性。

同时本发明方法实施例还有利于搜索引擎的抓取，因为现在大部分的搜索引擎对动态页面的抓取还比较弱，它们更喜欢抓取一些静态的页面。而本发明方法其实是将动态的显示的部分(既是参数部分)变成静态的页面(既是伪装的URL)，这样更加有利于搜索引擎的抓取。

而且对于用户来说，原来过于繁琐的URL的可读性很差，而本实施例让用户更容易理解，因为很少有用户去关心网站的页面的地址，但对一般的大中型网站增强可读性还是必须的。这样会让网站更加完美。

本实施例重写的伪装URL使得本实施例可以很方便的重用，提高网站的移植性。当后台方法改动的话，可以保证前台的页面部分不用改。这样就提高了网站的移植性。

本发明方法实施例中的规则配置信息采用正则表达式进行描述，正则可以更快速的完成工作。

此外，还有在捕获字符串的能力，正则也可以很好的完成工作，比如截取URL的域名或者其他的内容等等，用来对本实施例的规则配置信息进行描述时，可以避免发生由于字符串问题导致的错误，同时还能提高工作效率。

本发明的方法实施例中具体的规则配置信息为：

其中，<from>…</from>包含直接呈现给用户且被伪装的URL地址，<to>…</to>包含真实被重定向的URL地址，例如：

其中，<from>/action/login/login_([0-9]+)</from>只呈现给用户/action/login/login_([0-9]+)部分，既是至表明登录账号是0～9的数字构成，而

<to>/action/login/login.do？user＝$username&password＝$pwd&id＝$1</to>部分则是实际参数，内容包括用户名、密码以及ID。

如图2所示，本发明的系统实施例包括如下模块：

表单生产模块1、过滤模块2、存储模块3以及重定向显示模块4，各模块的具体内容详述如下：

表单生产模块1用于生成隐藏的表单，并将参数以及会话建立时产生的序号存储在表单内；

过滤模块2用于将接收到的数据通过规则配置信息进行筛选以包括符合规则的参数，并根据规则配置信息中对应的目的URL进行重定向；

存储模块3用于存储参数以及目的URL；

重定向显示模块4用于将真实URL地址重定向，从存储模块3中取出参数，并将参数显示于客户端。

表单生产模块1与过滤模块2连接，并通过消息传递方式进行数据通讯，存储模块3设置于过滤模块2内，重定向显示模块4与过滤模块2连接，并从存储模块3中取出数据。

而过滤模块2的实现方式如下：

首先，新建一个Web Project，在创建的时候，选择勾选“Add JSTL libraries toWEB-INF/lib folder”，然后再把URLrewrite-2.6.0.jar导入到项目Bulid Path路径下，最后再加入struts框架；

然后，配置web.xml文件，把配置用代码加入到web.xml配置文件中；

再则，新增URLrewrite.xml文件，最后在WEB-INF目录下新建一个规则配置文件。

在规则配置文件中rule是URL重写规则,from是显示出来的地址,to是映射的实际地址,$1是重写参数,它的值与from中的正则表达式是一一对应，可以为多个,()里是匹配的正则表达式,在正则表达式^指定字符的串开始，de>$de>为指定结束。

本发明的系统可以将URL地址从进行了伪装及隐藏，将包含各类敏感信息的参数部分进行隐藏，并将自定义的无具体含义的URL地址，既是伪装的URL地址，进行显示.

此外，本发明系统配合本发明方法的传递机制使得攻击者只能截获伪装的URL，而该URL是进行重写过的，所以不会暴露任何用户信息和实际有价值的参数，这样攻击者就无法从该URL中得到有价值的东西，同时将有价值的参数进行隐藏传递，直到客户端显示环节才显示出来，这无疑大幅度提升了安全性。

本发明系统的实现方式简单，不涉及复杂的设置过程，只是简单的配置即可完成。

上面所述的实施例仅是对本发明的优选实施方式进行描述，并非对本发明的构思和范围进行限定。在不脱离本发明设计构思的前提下，本领域普通人员对本发明的技术方案做出的各种变型和改进，均应落入到本发明的保护范围，本发明请求保护的技术内容，已经全部记载在权利要求书中。

Claims

1.一种URL伪装及参数隐藏传递的方法，其特征在于：包括以下步骤，

步骤一，设置表单并将所述表单设为隐藏，通过所述表单将参数以及会话建立时产生的序号存储，当页面触发表单事件时所述表单将所述参数传递至过滤器；

步骤二，所述过滤器通过规则配置信息对所述表单内容进行判断，并收集符合规则的所述参数，所述过滤器根据所述规则配置信息中对应的目的URL进行重定向；

步骤三，所述目的URL依据条件通过所述过滤器取得对应参数。

步骤四，真实URL地址被重定向，并将所述参数显示于客户端。

2.根据权利要求1所述的一种URL伪装及参数隐藏传递的方法，其特征在于：步骤一中，所述表单向所述过滤器传递的所述参数方式为消息传递。

3.根据权利要求1所述的一种URL伪装及参数隐藏传递的方法，其特征在于：所述的规则配置信息为：

其中，<from>…</from>包含直接呈现给用户且被伪装的URL地址，<to>…</to>包含真实被重定向的URL地址。

4.根据权利要求1所述的一种URL伪装及参数隐藏传递的方法，其特征在于：所述的规则配置信息采用正则表达式进行描述。

5.根据权利要求1所述的一种URL伪装及参数隐藏传递的方法，其特征在于：步骤三中，所述条件为会话建立时随机产生的序号。

6.根据权利要求1所述的一种URL伪装及参数隐藏传递的方法，其特征在于：所述过滤器通过key-value数据库对所述URL内容进行存储。

7.根据权利要求6所述的一种URL伪装及参数隐藏传递的方法，其特征在于：步骤四中，真实URL地址被重定向后从所述key-value数据库将所述参数取出并显示于客户端。

8.一种URL伪装及参数隐藏传递的系统，其特征在于：包括表单生产模块(1)、过滤模块(2)、存储模块(3)以及重定向显示模块(4)；

所述的表单生产模块(1)用于生成隐藏的表单，并将参数以及会话建立时产生的序号存储在所述表单内；

所述的过滤模块(2)用于将接收到的数据通过规则配置信息进行筛选以包括符合规则的所述参数，并根据所述规则配置信息中对应的目的URL进行重定向；

所述的存储模块(3)用于存储所述参数以及目的URL；

所述的重定向显示模块(4)用于将真实URL地址重定向，从所述存储模块(3)中取出所述参数，并将所述参数显示于客户端。

9.根据权利要求8所述的一种URL伪装及参数隐藏传递的系统，其特征在于：所述的表单生产模块(1)与所述过滤模块(2)之间通过消息传递方式进行数据通讯。

10.根据权利要求8所述的一种URL伪装及参数隐藏传递的系统，其特征在于：所述的存储模块(3)设置于所述过滤模块(2)内。