[发明专利]基于WEB反向代理的动态混淆的方法及系统

说明书

技术领域

本发明涉及移动浏览器技术领域，更为具体地，涉及一种基于WEB反向代理的动态混淆的方法及系统。

背景技术

在WEB服务高速发展的同时，WEB安全问题也已日益凸显。由于承载WEB服务的是HTML、JavaScript等文本形式的明文语言，相当于在WEB客户端可以看到页面源代码，也就容易被恶意分析，扫描漏洞，并利用漏洞发起攻击。

WEB服务指HTTP服务，即基于HTML的网页服务。HTTP的请求通过传输协议(TCP/UDP)发出，HTTP服务器通过在固定端口提供的WEB服务来完成对HTTP请求的响应。通过一个简单的登陆页面来说明HTTP访问的基本流程和常见命令，图1示出了HTTP一次请求与应答的流程。如图1，服务器端根据客户端发出的HTTP请求做出相对应的响应。客户端为Browser浏览器，整个登陆的交互过程可以分为五步，分别说明如下：

Step 1：客户端浏览器发出HTTP请求。如图1中请求为GET一个名为index的页面。该页面提供用户输入用户名和密码。

Step 2：HTTP服务器接收到请求数据，并对该请求应答index.html的页面。如图1中所示，应答数据分为两个部分，HTTP协议头，其包含(请求或)应答状态，以及HTTP数据部分，即HTML页面代码。其中协议返回的200OK表明HTTP Server响应正确，其具体含义见HTTP协议RFC2616

Step 3：客户端浏览器收到HTML页面数据，并对页面数据进行解析执行。浏览器根据解析执行效果显示HTTP页面界面。可以看到页面中的form表单中的输入用户名和密码的input对话框的名称分别为“username”和“passwd”。

Step 4：在客户端浏览器界面对应的输入框中，输入用户名和密码，本例中输入的用户名为test，密码为test123，并点击“login”按钮。浏览器对服务器端发出POST请求。其中HTTP数据部分，即提交的数据内容为登陆信息：username＝test，passwd＝test123。(HTTP服务的密码不推荐用明文传输，应该使用类似digest的方式传输，为了说明问题使用最简单的方式，即明文传输密码)。

Step 5：服务器端收到客户端浏览器发出的POST请求，并执行对应的登陆信息验证，如果登陆成功，则返回正确登陆的页面。客户端收到该页面后解析HTML并显示界面。

由于客户端浏览器获得的都是格式清晰且静态的页面内容，所以可以通过对页面内容和浏览器发出的数据包进行分析，从而写出可以被HTTP服务器响应的脚本，以完成浏览器的一些功能。并且诸如网络爬虫、网络扫描器等这类网络工具，都可以自动对静态页面内容进行分析，甚至直接计算出页面存在的漏洞以及可用的渗透或攻击方式。很多WEB安全问题也正是基于此。脚本具有自动执行、资源消耗低、灵活调用等特点，容易被攻击者用来进行WEB渗透和攻击。为了说明静态的标准格式页面数据，容易被攻击的事实，图2示出了使用简单的linux shell脚本来说明脚本发出页面请求的流程。

如图2所示，使用linux命令curl来对服务器发出HTTP登陆请求，且无需获得登陆的页面。其中curl命令执行方式，第一个参数为POST的对象URL，第二个-d参数为POST的数据内容。图2中模仿浏览器输入的用户名和密码发出登陆请求信息：username＝test且passwd＝test123。具体执行流程如图2所示，脚本发出了与浏览器相同的登陆请求内容，HTTP服务器对其做出了响应，并返回登陆成功的页面。对比图1与图2可以看出脚本登陆的流程更简便，脚本可以任意构造HTTP请求信息，可以模拟任何HTTP客户端发出请求，并且脚本消耗很低的资源即可完成浏览器的功能。

上述图2为简单HTTP登陆的例子；为了进一步说明静态的标准格式页面数据，容易被攻击的事实，图3示出了模拟用暴力穷举的方式破解登陆密码的流程；如图3所示，使用linux shell脚本模拟用暴力穷举的方式破解登陆密码。如图1所示，攻击者通过正常的访问或者爬虫工具获得登陆页面代码，分析代码(或数据包)判断表单中字段含义，可以得出input标签中，username和passwd是分别代表了用户名和密码的HTML变量。图3根据图1的上述方式编写脚本，如图3，使用for循环，穷举密码为test1到test123。使用每个穷举密码用curl命令尝试登陆，并最终以正确的密码登陆成功。