[发明专利]一种HTTP请求走私防御方法、装置、介质

说明书

本申请涉及网络安全领域，公开了一种HTTP请求走私防御方法、装置、介质，包括：获取输入前端服务器的第一数据包；当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与第一数据包对应的第二数据包，以便于后续判断前端服务器和后端服务器所获取到的数据包是否一种；对第一数据包和第二数据包进行校验，以判断第一数据包和第二数据包是否一致；若第一数据包和第二数据包一致，则确定服务器系统安全；若第一数据包和第二数据包不一致，则确定存在HTTP请求走私。本申请通过对第一数据包、第二数据包进行校验，以判断前端服务器和后端服务器所获取到的数据包是否相同，从而提高用户信息的安全性，提高用户体验。

技术领域

本申请涉及网络安全领域，特别是涉及一种HTTP请求走私防御方法、装置、介质。

背景技术

为了提高服务器的安全性，越来越多的个人或公司选择使用反向代理或CDN架构。随着互联网技术的发展，反向代理架构与CDN的安全问题也逐渐被用户所重视。其中，HTTP请求走私就是其中显现出来的问题之一。

HTTP请求走私是指在反向代理或CDN架构下，前端服务器负责接收用户请求与安全控制，经过处理后将被允许的请求转发给后端服务器，而后端服务器无条件的相信前端服务器转发过来的全部请求，并对每一个请求都进行响应。但前后端的服务器对RFC标准的具体实现不一，导致攻击者可以将无法访问的请求走私给后端服务器以获得响应。该漏洞利用了前端服务器和后端服务器对数据包边界定义不一致的情况，将前一个数据包的内容插入至下一个数据包中，可能会导致用户或管理员账号被窃取、信息泄露等危害。

由此可见，如何提供一种HTTP请求走私防御方法，以提高用户信息的安全性，是本领域技术人员亟需解决的问题。

发明内容

本申请的目的是提供一种HTTP请求走私防御方法，以提高用户信息的安全性。

为解决上述技术问题，本申请提供一种HTTP请求走私防御方法，包括：

获取输入所述前端服务器的第一数据包；

当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包；

对所述第一数据包和所述第二数据包进行校验，以判断所述第一数据包和所述第二数据包是否一致；

若所述第一数据包和所述第二数据包一致，则确定服务器系统安全；

若所述第一数据包和所述第二数据包不一致，则确定存在HTTP请求走私。

优选的，所述预设条件为：

所述前端服务器将所述第一数据包发送至所述后端服务器。

优选的，所述获取输入所述前端服务器的第一数据包的步骤后，还包括：

获取发送所述第一数据包的服务器的IP信息；

判断所述IP信息是否为异常IP；

若为异常IP，则丢弃所述第一数据包；

否不为异常IP，则执行所述当前端服务器的工作状态满足预设条件时，获取后端服务器所接收到的与所述第一数据包对应的第二数据包的步骤。

优选的，利用插装探针技术获取所述第一数据包、所述第二数据包，并对所述第一数据包和所述第二数据包进行校验。

优选的，所述对所述第一数据包和所述第二数据包进行校验包括：

计算所述第一数据包的第一MD5值、所述第二数据包的第二MD5值；

判断所述第一MD5值、所述第二MD5值是否一致。

优选的，所述确定服务器系统安全的步骤后，还包括：