一种网站防护方法、系统及装置制造方法

一种网站防护方法、系统及装置制造方法
【专利摘要】本发明提供一种网站防护方法、系统及装置，解决网站安全服务器无法有效保证应用服务器安全的问题。该方法中网站安全服务器接收到客户端发送的访问应用服务器的请求后，当该请求中携带WEB容器的私有变量时，根据自身保存的针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，当匹配成功时，将该请求过滤，否则，将该请求发送到应用服务器。由于本发明实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。
【专利说明】一种网站防护方法、系统及装置
【技术领域】
[0001]本发明涉及网络安全【技术领域】，尤其涉及一种网站防护方法、系统及装置。
【背景技术】
[0002]Struts2是为了提高开发人员的工作效率，提出的一种全新的框架。但Struts2在提高开发人员工作效率的同时，也带来了很多的问题，这是因为Struts2框架的底层是基于OGNL语言实现的，而OGNL语言本身可以调用Java静态函数进而执行系统命令，从而为系统带来不安全的隐患，另外，其他的框架也同样存在安全隐患的问题。
[0003]用户访问应用服务器的请求发送到网站安全服务器，网站安全服务器根据自身保存的过滤策略，过滤掉不安全的请求，将安全的请求发送到应用服务器。网站安全服务器是保证应用服务器安全的节点，在网站安全服务器中需要部署相应的安全策略，保证应用服务器的安全。但是现有技术中网站安全服务器在接收到用户发送的访问应用服务器的请求后，网站安全服务器无法有效过滤掉对存在安全隐患的调用请求，从而无法保证应用服务器的安全。

【发明内容】

[0004]本发明实施例提供了一种网站防护方法、系统及装置，解决现有技术中网站安全服务器无法有效过滤用户发送的不安全的请求，无法有效保证应用服务器安全的问题。
[0005]本发明实施例提供了一种网站防护方法，该方法包括:
[0006]网站安全服务器接收客户端发送的访问应用服务器的请求；
[0007]判断该请求中是否携带WEB容器的私有变量；
[0008]当该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配；
[0009]当匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。
[0010]较佳地，为了进一步有效的保证应用服务器的安全，所述判断该请求中是否携带WEB容器的私有变量之前，所述方法还包括:
[0011]判断所述请求是否是对OGNL的调用；
[0012]当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象；
[0013]当该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，进行后续步骤。
[0014]较佳地，为了进一步有效的保证应用服务器的安全，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配之前，所述方法还包括:
[0015]判断该WEB容器的私有变量是否为字符串；
[0016]当该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，进行后续步骤。
[0017]本发明实施例提供了一种网站防护装置，所述装置包括:
[0018]接收模块，用于接收客户端发送的访问应用服务器的请求；
[0019]判断模块，用于判断该请求中是否携带WEB容器的私有变量；
[0020]匹配模块，用于当判断模块判断该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配；
[0021]处理模块，用于当匹配模块匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。
[0022]较佳地，为了进一步有效的保证应用服务器的安全，所述判断模块，还用于判断所述请求是否是对OGNL的调用；及当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象；
[0023]处理模块，还用于当判断模块判断该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，返回判断模块进行判断请求中是否携带WEB容器的私有变量的操作。
[0024]较佳地，为了进一步有效的保证应用服务器的安全，所述判断模块，还用于判断该WEB容器的私有变量是否为字符串；
[0025]所述处理模块，还用于当判断模块判断该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，将该请求发送到匹配模块进行处理。
[0026]本发明实施例提供了 一种网站安全服务器，该网站安全服务器包括上述装置。
[0027]本发明实施例提供了一种网站防护系统，所述系统包括:客户端、应用服务器以及上述网站安全服务器。
[0028]本发明实施例提供了一种网站防护方法、系统及装置，该方法中当网站安全服务器接收到客户端发送的访问应用服务器的请求后，判断该请求中是否携带WEB容器的私有变量，当该请求中携带WEB容器的私有变量时，根据自身保存的针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，当匹配成功时，将该请求过滤，否则，将该请求发送到应用服务器。由于本发明实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。
【专利附图】

【附图说明】
[0029]图1为本发明实施例提供的一种网站防护过程示意图；
[0030]图2为本发明实施例提供的服务器的逻辑架构图；
[0031]图3为本发明实施例一提供的一种网站防护过程示意图；
[0032]图4为本发明实施例二提供的一种网站防护过程示意图；
[0033]图5为本发明实施例提供的一种网站防护装置结构示意图；
[0034]图6为本发明实施例提供的一种网站防护系统结构示意图。【具体实施方式】
[0035]为了有效的保证应用服务器的安全，本发明实施例了一种网站防护方法、系统及
>J-U ρ?α装直。
[0036]下面结合说明书附图，对本发明实施例进行详细说明。
[0037]图1为本发明实施例提供的一种网站防护过程示意图，该过程包括以下步骤:
[0038]SlOl:网站安全服务器接收客户端发送的访问应用服务器的请求。
[0039]网站安全服务器是为了保证应用服务器的安全设置的服务器，一台网站安全服务器可以同时防护几台应用服务器。用户在访问应用服务器时，通过客户端将请求发送到网站安全服务器，在网站安全服务器端进行过滤。用户通过客户端发送的访问应用服务器的请求可以是访问网页的请求，也可以是访问应用服务器的其他请求。
[0040]S102:判断该请求中是否携带WEB容器的私有变量，当判断结果为是时，进行步骤S103，否则，进行步骤S105。
[0041]在本发明实施例中为了保证应用服务器的安全，当接收到用户发送的请求时，判断该请求中是否携带WEB容器的私有变量，从而确定是否过滤该请求。
[0042]S103:将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，在匹配成功时，进行步骤S104，否则，进行步骤S105。
[0043]为了保证应用服务器的安全，并且同时提高用户的访问体验，针对每台应用服务器，分析该应用服务器中的每个WEB容器的私有变量，确定每个WEB容器的私有变量是否具有SET方法，将具有SET方法的每个WEB容器的私有变量针对该应用服务器保存到网络安全服务器中，即在网络安全服务器中针对每台应用服务器，保存有该应用服务器具有SET方法的每个WEB容器的私有变量。当网络安全服务器确定用户发送的请求中携带WEB容器的私有变量，可以根据自身针对每台应用服务器保存的具有SET方法的每个WEB容器的私有变量，对用户发送的请求进行过滤。
[0044]S104:确定该访问请求不安全，将该访问请求过滤。
[0045]S105:确定该访问请求安全，将该访问请求发送到应用服务器。
[0046]网络安全服务器根据用户发送的请求中携带的WEB容器的私有变量，及自身针对该用户访问的应用服务器保存的其具有SET方法的每个WEB容器的私有变量，当该请求中携带的WEB容器的私有变量与该网络安全服务器针对该应用服务器保存的每个WEB容器的私有变量匹配并匹配成功时，确定用户访问的该应用服务器中针对该请求中携带的WEB容器的私有变量，具有SET方法，如果将该请求发送到应用服务器，该请求将会执行系统命令，为应用服务器带来安全隐患，为了保证应用服务器的安全，网络安全服务器将该请求过滤，即不将该请求发送到应用服务器；当该请求中未携带WEB容器的私有变量，或者虽然携带了 WEB容器的私有变量，但与该网络安全服务器针对该应用服务器保存的每个WEB容器的私有变量匹配不成功时，确定该请求安全，将该请求发送到应用服务器，由应用服务器对该请求进行处理。
[0047]由于本发明实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。[0048]图2为本发明实施例提供的服务器的逻辑架构图，位于最底层的是服务器的操作系统(OS)层,服务器的操作系统可以是Linux、Windows或Unix,位于操作系统之上的是WEB容器，具体可以是Tomcat或Jboss,位于WEB容器之上的是Struts2框架或SpringMVC框架，位于框架之上开发人员进行程序的开发。
[0049]现有WEB容器层存在漏洞，当调用一些WEB容器的私有变量，并且当该WEB容器的私有变量具有SET方式时，即可执行操作系统命令，为操作系统带来不安全因素。
[0050]因此，在本发明实施例中针对每台应用服务器，通过分析每台应用服务器的代码，确定每台应用服务器中具有SET方法的每个WEB容器的私有变量，并将该信息保存在网站安全服务器中。具体的在网站安全服务器中针对每台应用服务器保存有其具有SET方法的每个WEB容器的私有变量。
[0051]当网站安全服务器接收到用户发送的访问应用服务器的请求，并判断该请求中携带WEB容器的私有变量时，根据自身的保存的针对每台应用服务器保存的具有SET方法的每个WEB容器的私有变量，查找该应用服务器对应的每个WEB容器的私有变量，将该请求中的WEB容器的私有变量，与保存的针对该应用服务器对应的每个WEB容器的私有变量进行匹配，当匹配成功时，说明在该应用服务器中针对该WEB容器的私有变量具有SET方法，如果将该请求发送到该应用服务器，当为该应用服务器带来不安全因素，因此网络安全服务器为了保证应用服务器的安全，将该请求过滤；如果匹配不成功，说明在该应用服务器中针对该WEB容器的私有变量不具有SET方法，即使将该请求发送到应用服务器也不会为该应用服务器带来不安全因素，因此，网络安全服务器将该请求发送到应用服务器。
[0052]每台应用服务器中的每个WEB容器的私有变量是否具有SET方法，可能会随着时间的变化而变化。为了进一步有效的保证应用服务器的安全，可以按照设定的时间间隔分析每台应用服务器中的每个WEB容器的私有变量，判断每个WEB容器的私有变量是否具有SET方法，根据分析的结果，更新网络安全服务器中针对每台应用服务器保存的具有SET方法的每个WEB容器的私有变量，即按照设定的时间间隔，对针对每台应用服务器保存的具有SET方法的WEB容器的私有变量进行更新。
[0053]另外，在本发明实施例中为了进一步保证应用服务器的安全，当网络安全服务器接收到用户发送的访问应用服务器的请求时，在判断该请求中是否携带WEB容器的私有变量之前，该方法还包括:
[0054]判断所述请求是否是对OGNL的调用；
[0055]当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象；
[0056]当该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，判断该请求中是否携带WEB容器的私有变量。
[0057]由于通过OGNL语言本身可以调用Java静态函数进而执行系统命令，从而为系统带来不安全的隐患，因此在本发明实施例中为了进一步保证应用服务器的安全，当接收到用户发送的访问应用服务器的请求时，判断该请求是否是对OGNL的调用，并且根据本地保存的OGNL过滤库中保存的信息，判断是否将该请求过滤。
[0058]具体的，在OGNL过滤库保存有一些特殊字符或命令对象，特殊字符可以包括:#、@和\，命令对象可以包括:#_memberAccess.al1wStaticMethodAcce ss、#context ["xwork.MethodAccessor.denyMethodExecution〃]和 #_memberAccess.excludeProperties。 网络安全服务器接收到用户发送的访问应用服务器的请求，判断该请求是对OGNL的调用时，根据自身保存的OGNL过滤库，判断该请求中携带特殊字符，例如该请求中携带特殊字符#时，或者判断该请求中携带命令对象#context [〃xwork.MethodAccessor.denyMethodExecution〃]时,确定该请求不安全,过滤该请求。
[0059]网络安全服务器接收到用户访问应用服务器的请求后，判断该请求是否是对OGNL的调用，当该请求是对OGNL的调用时，根据自身OGNL过滤库中保存的特殊字符及命令对象，判断是否过滤该请求。当确定该请求虽然是对OGNL的调用，但是该请求中未携带OGNL过滤库中的特殊字符及命令对象是，再继续判断该请求是否携带WEB容器的私有变量，进一步判断该请求是否安全，将经过两次判断后确定为安全的请求发送到应用服务器。
[0060]图3为本发明实施例一提供的一种网站防护过程示意图，该过程包括以下步骤:
[0061]S301:网站安全服务器接收客户端发送的访问应用服务器的请求。
[0062]S302:判断该请求是否是对OGNL的调用，当判断结果为是时，进行步骤S303，否贝丨J，进行步骤S304。
[0063]S303:根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象，当判断结果为是时，进行步骤S306，否则，进行步骤S304。
[0064]S304:判断该请求中是否携带WEB容器的私有变量，当判断结果为是时，进行步骤S305，否则，进行步骤S307。
[0065]S305:将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，在匹配成功时，进行步骤S306，否则，进行步骤S307。
[0066]S306:确定该访问请求不安全，将该访问请求过滤。
[0067]S307:确定该访问请求安全，将该访问请求发送到应用服务器。
[0068]在本发明的上述实施例中，网络安全服务器接收到用户发送的访问应用服务器的请求后，为了保证应用服务器的安全，网络安全服务器首先判断该请求是否是对OGNL的调用，并且为了进一步保证应用服务器的安全，网络服务器继续判断该请求中是否携带WEB容器的私有变量，通过上述两次的判断，可以有效的过滤不安全的请求，保证应用服务器的安全。
[0069]当WEB容器的私有变量具有SET方法，并且该WEB容器的私有变量为字符串时其会执行系统命令，当该WEB容器的私有变量非字符串时，该WEB容器的私有变量也不会执行系统命令。
[0070]因此，在本发明实施例中为了有效的保证应用服务器的安全，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配之前，所述方法还包括:
[0071]判断该WEB容器的私有变量是否为字符串；
[0072]当该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配。
[0073]图4为本发明实施例二提供的一种网络防护过程示意图，该过程包括以下步骤:
[0074]S401:网站安全服务器接收客户端发送的访问应用服务器的请求。[0075]S402:判断该请求是否是对OGNL的调用，当判断结果为是时，进行步骤S403，否贝丨J，进行步骤S404。
[0076]S403:根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象，当判断结果为是时，进行步骤S407，否则，进行步骤S404。
[0077]S404:判断该请求中是否携带WEB容器的私有变量，当判断结果为是时，进行步骤S405，否则，进行步骤S408。
[0078]S405:判断该WEB容器的私有变量是否为字符串，当判断结果为是时，进行步骤S406，否则，进行步骤S408。
[0079]S406:将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，在匹配成功时，进行步骤S407，否则，进行步骤S408。
[0080]S407:确定该访问请求不安全,将该访问请求过滤。
[0081]S408:确定该访问请求安全，将该访问请求发送到应用服务器。
[0082]由于本发明实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。
[0083]下面结合一个具体实施例，对本发明实施例进行详细说明。
[0084]网络安全服务器接 收到用户发送的访问第一应用服务器的请求http://WWW.test, com/test, actiom ?提交的参数为 jav.classlouder.jarapath= (OGNL),当网站安全服务器接收到该请求后，判断该请求是对OGNL的调用，并且根据本地保存的OGNL过滤库，该请求中不包含OGNL过滤库中的特殊字符或命令对象，由于该请求中携带WEB容器的私有变量jav.classlouder.jarapath，判断该WEB容器的私有变量为字符串，且网络安全服务器的本地针对第一应用服务器保存有该WEB容器的私有变量，因此可以确定该请求不安全，网络安全服务器将该请求过滤。
[0085]图5为本发明实施例提供的一种网站防护装置结构示意图，所述装置包括:
[0086]接收模块51，用于接收客户端发送的访问应用服务器的请求；
[0087]判断模块52，用于判断该请求中是否携带WEB容器的私有变量；
[0088]匹配模块53，用于当判断模块判断该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配；
[0089]处理模块54，用于当匹配模块匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。
[0090]所述判断模块52，还用于判断所述请求是否是对OGNL的调用；及当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象；
[0091]所述处理模块54，还用于当判断模块判断该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，返回判断模块进行判断请求中是否携带WEB容器的私有变量的操作。
[0092]所述判断模块52，还用于判断该WEB容器的私有变量是否为字符串；[0093]所述处理模块54，还用于当判断模块判断该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，将该请求发送到匹配模块进行处理。
[0094]本发明实施例提供了 一种网站安全服务器，该服务器包括上述装置。
[0095]图6为本发明实施例提供的一种网站防护系统，所述系统包括:客户端61、应用服务器63以及上述网站安全服务器62。
[0096]本发明实施例提供了一种网站防护方法、系统及装置，该方法中当网站安全服务器接收到客户端发送的访问应用服务器的请求后，判断该请求中是否携带WEB容器的私有变量，当该请求中携带WEB容器的私有变量时，根据自身保存的针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配，当匹配成功时，将该请求过滤，否则，将该请求发送到应用服务器。由于本发明实施例中的网站安全服务器根据请求中是否携带WEB容器的私有变量，及本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量，从而确定是否过滤该请求，避免该请求中携带的WEB容器的私有变量执行系统命令，有效的保证了应用服务器的安全。
[0097]本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0098]本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0099]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0100]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0101]尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
[0102]显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。
【权利要求】
1.一种网站防护方法，其特征在于，该方法包括: 网站安全服务器接收客户端发送的访问应用服务器的请求； 判断该请求中是否携带WEB容器的私有变量； 当该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配； 当匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。
2.如权利要求1所述的方法，其特征在于，所述判断该请求中是否携带WEB容器的私有变量之前，所述方法还包括: 判断所述请求是否是对OGNL的调用； 当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象； 当该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，进行后续步骤。
3.如权利要求2所述的方法，其特征在于，所述OGNL过滤库中包含的特殊字符为#、@和\。
4.如权利要求1或2所述的方法，其特征在于，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配之前，所述方法还包括: 判断该WEB容器的私有变量是否为字符串； 当该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，进行后续步骤。
5.如权利要求1所述的方法，其特征在于，所述WEB容器的私有变量包括: Tomcat内置私有变量和Jboss内置私有变量。
6.一种网站防护装置，其特征在于，所述装置包括: 接收模块，用于接收客户端发送的访问应用服务器的请求； 判断模块，用于判断该请求中是否携带WEB容器的私有变量； 匹配模块，用于当判断模块判断该请求中携带WEB容器的私有变量时，将该WEB容器的私有变量与本地针对该应用服务器保存的具有SET方法的每个WEB容器的私有变量进行匹配； 处理模块，用于当匹配模块匹配成功时，将该请求过滤，否则，将该请求发送到所述应用服务器。
7.如权利要求6所述的方法，其特征在于，所述判断模块，还用于判断所述请求是否是对OGNL的调用；及当该请求是对OGNL的调用时，根据本地保存的OGNL过滤库，判断该请求中是否包含该OGNL过滤库中的特殊字符或命令对象； 处理模块，还用于当判断模块判断该请求中包含该OGNL过滤库中的特殊字符或命令对象时，过滤该请求，否则，返回判断模块进行判断请求中是否携带WEB容器的私有变量的操作。
8.如权利要求6或7所述的方法，其特征在于，所述判断模块，还用于判断该WEB容器的私有变量是否为字符串；所述处理模块，还用于当判断模块判断该WEB容器的私有变量非字符串时，将该请求发送到所述应用服务器，否则，将该请求发送到匹配模块进行处理。
9.一种网站安全服务器，其特征在于，包括权利要求6~8任一所述的装置。
10.一种网站防护系统，其特征在于，所述系统包括:客户端、应用服务器以及权利要求9所述的网站安全服务器。
【文档编号】G06F17/30GK103618734SQ201310659048
【公开日】2014年3月5日 申请日期:2013年12月6日 优先权日:2013年12月6日
【发明者】苏洵 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司