(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107508839A(43)申请公布日2017.12.22(21)申请号201710900935.9(22)申请日2017.09.28(71)申请人中国银联股份有限公司地址200135上海市浦东新区含笑路36号(72)发明人丁玲明周恒磊邓乐孙会林(74)专利代理机构北京同达信恒知识产权代理有限公司11291代理人黄志华(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书10页附图4页(54)发明名称一种控制web系统越权访问的方法和装置(57)摘要本发明实施例涉及网络安全技术领域，尤其涉及一种控制web系统越权访问的方法及装置，包括：代理服务器接收服务器发送的第一响应消息；所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。可以看出，在有代理服务器的应用场景下，若服务器发送的响应消息中携带的参数属于预设规则库中配置的监控参数，则代理服务器对服务器返回的响应消息中的参数进行加密处理，从而使得客户端的访问请求的参数具有不可猜测性、不可遍历性，因此，能够从根源上彻底杜绝web应用越权漏洞的发生。CN107508839ACN107508839A权利要求书1/2页1.一种控制web系统越权访问的方法，其特征在于，包括：代理服务器接收服务器发送的第一响应消息，所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的；所述代理服务器判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。2.如权利要求1所述的方法，其特征在于，在将加密后的第一响应消息发送给所述客户端之后，还包括：所述代理服务器接收所述客户端发送的第二页面访问请求消息，判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数，若是，则对所述第二页面访问请求消息进行解密处理，并将解密后的第二页面访问请求消息发送给所述服务器，以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息，其中，所述第二页面访问请求消息是基于所述第一响应消息所生成的。3.如权利要求2所述的方法，其特征在于，所述对所述第一响应消息加密处理，包括：对所述第一响应消息中的参数进行加密处理；所述对所述第二页面访问请求消息进行解密处理，包括：对所述第二页面访问请求中的参数进行解密处理。4.一种控制web系统越权访问的方法，其特征在于，包括：服务器接收到客户端发送的业务创建消息，所述业务创建消息用于在所述服务器中为所述客户端创建新业务；所述服务器根据所述业务创建消息，生成参数信息；所述服务器对所述参数信息进行变形处理，并将变形后的参数信息存储至所述服务器中，以便接收到所述客户端发送的业务访问请求消息时，将变形后的参数信息发送给所述客户端。5.如权利要求4所述的方法，其特征在于，所述将所述参数信息进行变形，并将变形后的参数信息存储至所述服务器中，包括：将所述参数信息进行哈希运算，并将经过哈希运算后的参数信息存储至所述服务器的数据库中；或者，将所述参数信息进行修改，并将修改后的参数信息存储至所述服务器的数据库中。6.一种控制web系统越权访问的装置，其特征在于，包括：第一接收模块，用于接收服务器发送的第一响应消息，所述第一响应消息是所述服务器通过所述代理服务器接收到客户端的第一页面访问请求消息后所生成的；监控模块，用于判断所述第一响应消息中携带的第一参数是否属于预设规则库中配置的监控参数，若是，则对所述第一响应消息进行加密处理，并将加密后的第一响应消息发送给所述客户端。7.如权利要求6所述的装置，其特征在于，所述第一接收模块还用于：在将加密后的第一响应消息发送给所述客户端之后，接收所述客户端发送的第二页面访问请求消息；所述监控模块，还用于判断所述第二页面访问请求消息携带的第二参数是否属于所述规则库中的监控参数，若是，则对所述第二页面访问请求消息进行解密处理，并将解密后的2CN107508839A权利要求书2/2页第二页面访问请求消息发送给所述服务器，以使所述服务器根据解密后的第二页面访问请求消息生成第二响应消息，其中，所述第二页面访问请求消息是基于所述第一响应消息所生成的。8.如权利要求7所述的装置，其特征在于，所述监控模块，具体用于：对所述第一响应消息中的参数进行加密处理；所述监控模块，具体用于：对所述第二页面访问请求中的参数进行解密处理。9.一种控制web系统越权访问的装置，其特征在于，包括：第二接收模块，接收到客户端发送的业务创建消息，所述业务创