亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

腳本引擎中網(wǎng)絡(luò)文件的隔離與訪(fǎng)問(wèn)控制方法

文檔序號(hào):8546178閱讀:411來(lái)源:國(guó)知局
腳本引擎中網(wǎng)絡(luò)文件的隔離與訪(fǎng)問(wèn)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種可以直接實(shí)現(xiàn)在網(wǎng)絡(luò)服務(wù)器腳本引擎中的網(wǎng)絡(luò)文件強(qiáng)制訪(fǎng)問(wèn)控制方法,尤其是涉及一種腳本弓I擎中網(wǎng)絡(luò)文件的隔離與訪(fǎng)問(wèn)控制方法。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)服務(wù)器上提供的各類(lèi)功能和服務(wù)幾乎都是通過(guò)服務(wù)端腳本實(shí)現(xiàn)的。這些腳本往往由應(yīng)用程序員(網(wǎng)站程序員)按照需求進(jìn)行編寫(xiě)并通過(guò)網(wǎng)絡(luò)服務(wù)器上安裝的腳本引擎來(lái)執(zhí)行。為了滿(mǎn)足網(wǎng)絡(luò)用戶(hù)日益增長(zhǎng)的多樣性需求,現(xiàn)代網(wǎng)絡(luò)服務(wù)器所能提供的很多服務(wù)在實(shí)現(xiàn)上已經(jīng)變的十分復(fù)雜。應(yīng)用程序員往往需要編寫(xiě)大量的腳本程序并在很多時(shí)候調(diào)用第三方模塊協(xié)同完成,這使得網(wǎng)絡(luò)服務(wù)中的安全隱患很難被杜絕。近年來(lái)大量的網(wǎng)絡(luò)腳本被發(fā)現(xiàn)存在各類(lèi)漏洞(有些漏洞甚至被發(fā)現(xiàn)存在于谷歌、百度等互聯(lián)網(wǎng)技術(shù)領(lǐng)先的企業(yè)網(wǎng)站中),其破壞力小到泄露網(wǎng)站注冊(cè)用戶(hù)的隱私和權(quán)限,大到整個(gè)網(wǎng)站被攻擊者完全控制。漏洞防治作為一項(xiàng)世界級(jí)難題長(zhǎng)期受到企業(yè)界與學(xué)術(shù)界的廣泛關(guān)注,但至今尚無(wú)根本性解決方案。
[0003]文件包含漏洞作為各類(lèi)互聯(lián)網(wǎng)漏洞中的一種,其危害在于網(wǎng)絡(luò)服務(wù)器中的文件系統(tǒng)可以被該類(lèi)漏洞直接暴露在互聯(lián)網(wǎng)上,從而導(dǎo)致大量的機(jī)密文件能被攻擊者非法下載。這些機(jī)密文件可能是服務(wù)端腳本源文件、網(wǎng)站注冊(cè)用戶(hù)的隱私資料、甚至于網(wǎng)絡(luò)服務(wù)器中的關(guān)鍵系統(tǒng)文件(如操作系統(tǒng)密碼文件或本地?cái)?shù)據(jù)庫(kù)密碼文件等)。這些文件的泄露往往能極大的降低攻擊者進(jìn)一步滲透網(wǎng)絡(luò)服務(wù)器的難度。比如,如果操作系統(tǒng)的密碼文件被非法下載,攻擊者可以很輕松的離線(xiàn)破解網(wǎng)絡(luò)服務(wù)器管理員的登錄密碼,從而獲取服務(wù)器的操控權(quán)。
[0004]目前,防止文件包含漏洞的方法主要可以分為兩類(lèi)。一類(lèi)完全依賴(lài)于腳本程序員在腳本程序中對(duì)網(wǎng)路用戶(hù)輸入的下載文件名進(jìn)行分析和過(guò)濾。這類(lèi)方法需要消耗腳本程序員大量的人力成本同時(shí)很難提供可靠的防御。程序員需要針對(duì)所有的下載腳本單獨(dú)實(shí)現(xiàn)文件名過(guò)濾算法,任何的疏忽都可能導(dǎo)致文件名過(guò)濾的不完全,從而很難從根本上杜絕文件包含漏洞。另一類(lèi)方法在腳本引擎中利用操作系統(tǒng)固有的自主訪(fǎng)問(wèn)控制體系對(duì)下載的文件進(jìn)行管控。比如,下載腳本只有權(quán)限訪(fǎng)問(wèn)指定文件夾中的文件,或者只能訪(fǎng)問(wèn)和下載腳本屬于同一用戶(hù)的文件等。雖然這類(lèi)方法不需要消耗大量的人力成本,但是由于其訪(fǎng)問(wèn)控制并沒(méi)有從操作系統(tǒng)固有的自主訪(fǎng)問(wèn)控制體系中獨(dú)立出來(lái),很難做到對(duì)網(wǎng)絡(luò)文件精確的本地隔離和訪(fǎng)問(wèn)控制。這使得應(yīng)用此類(lèi)方法很難完全阻止文件被非法下載。比如,由于腳本文件往往是由同一管理員布置在網(wǎng)絡(luò)服務(wù)器上的,當(dāng)下載腳本被限制成只能下載同一用戶(hù)的文件時(shí),所有的腳本源文件將得不到保護(hù)。當(dāng)將下載權(quán)限限制在指定文件夾中時(shí),不同的下載腳本將可以下載所有被指定文件夾中的文件,同時(shí)不能有效區(qū)分文件夾中哪些文件屬于本地文件、哪些文件屬于網(wǎng)絡(luò)文件。
[0005]總而言之,當(dāng)前尚無(wú)方法能在最小化人力成本的基礎(chǔ)上對(duì)網(wǎng)絡(luò)文件進(jìn)行精確的本地隔離和可靠的訪(fǎng)問(wèn)控制,這也是為什么文件包含漏洞一直不能得到徹底解決的主要原因。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的就是為了從根本上解決由于網(wǎng)絡(luò)文件訪(fǎng)問(wèn)控制缺陷所導(dǎo)致的文件包含漏洞,在腳本引擎的支撐下,提供一種腳本弓丨擎中網(wǎng)絡(luò)文件的隔離與訪(fǎng)問(wèn)控制方法,可以在最小化人力成本的前提下對(duì)網(wǎng)絡(luò)文件進(jìn)行精確本地隔離和可靠訪(fǎng)問(wèn)控制。
[0007]根據(jù)本發(fā)明的一個(gè)方面,提供一種腳本引擎中網(wǎng)絡(luò)文件的隔離與訪(fǎng)問(wèn)控制方法,其特征在于,所述包括兩個(gè)部分:第一部分是將安全標(biāo)簽嵌入到網(wǎng)絡(luò)文件中;第二部分是腳本引擎將根據(jù)安全標(biāo)簽對(duì)其讀取的文件進(jìn)行強(qiáng)制訪(fǎng)問(wèn)控;第一部分分第一情況和第二情況;
第一情況包括以下步驟:
步驟101,網(wǎng)絡(luò)管理員通過(guò)HTTP協(xié)議將網(wǎng)絡(luò)文件上傳至網(wǎng)絡(luò)服務(wù)器;
步驟102,在網(wǎng)絡(luò)文件通過(guò)HTTP協(xié)議上傳到網(wǎng)絡(luò)服務(wù)器后,網(wǎng)絡(luò)腳本將通過(guò)腳本引擎調(diào)用文件寫(xiě)函數(shù);
步驟103,腳本引擎通過(guò)系統(tǒng)調(diào)用將安全標(biāo)簽嵌入到上傳的網(wǎng)絡(luò)文件中;
步驟104,腳本引擎將嵌有安全標(biāo)簽的文件寫(xiě)入網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng);
第二情況包括以下步驟:
步驟105,網(wǎng)絡(luò)管理員通過(guò)FTP協(xié)議或SSH協(xié)議將網(wǎng)絡(luò)文件上傳至網(wǎng)絡(luò)服務(wù)器并將其寫(xiě)入網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng);
步驟106,網(wǎng)絡(luò)管理員調(diào)用輔助工具將安全標(biāo)簽嵌入到網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng)上存儲(chǔ)的指定文件中;
步驟107,網(wǎng)絡(luò)管理員指定要寫(xiě)入的安全標(biāo)簽的數(shù)值或者直接使用默認(rèn)值;
步驟108,輔助工具通過(guò)系統(tǒng)調(diào)用將安全標(biāo)簽嵌入到存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng)中的網(wǎng)絡(luò)文件;
第二部分包括以下步驟:
步驟109,遠(yuǎn)程網(wǎng)絡(luò)用戶(hù)通過(guò)訪(fǎng)問(wèn)網(wǎng)絡(luò)腳本下載指定的網(wǎng)絡(luò)文件;
步驟110,網(wǎng)絡(luò)腳本通過(guò)腳本引擎從網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng)中讀取指定的文件;
步驟111,腳本引擎將通過(guò)系統(tǒng)調(diào)用讀取文件的擴(kuò)展文件屬性以讀取安全標(biāo)簽數(shù)值;步驟112,腳本引擎根據(jù)安全標(biāo)簽的數(shù)值決定文件是否有權(quán)被傳送給網(wǎng)絡(luò)用戶(hù),如果有權(quán)則執(zhí)行步驟114 ;如果無(wú)權(quán)則執(zhí)行步驟113 ;
步驟113,由于無(wú)權(quán)讀取相應(yīng)的文件,腳本引擎將刪除其內(nèi)存空間中文件的拷貝并直接返回;
步驟114,腳本引擎有權(quán)讀取相應(yīng)的文件。
[0008]與現(xiàn)有方法相比,本發(fā)明的優(yōu)點(diǎn)可以歸納如下:本發(fā)明可以在最小化人力成本的前提下實(shí)現(xiàn)精確而可靠的網(wǎng)絡(luò)文件強(qiáng)制訪(fǎng)問(wèn)控制,從根本上解決網(wǎng)絡(luò)腳本中的文件包含漏洞。本發(fā)明是可以大量節(jié)約后期人力成本并從根本上阻止網(wǎng)絡(luò)服務(wù)器文件被非法下載的方法。
【附圖說(shuō)明】
[0009]圖1為腳本引擎中實(shí)現(xiàn)的強(qiáng)制訪(fǎng)問(wèn)控制規(guī)則圖。
[0010]圖2Ca)為由于讀取擴(kuò)展文件屬性引起的腳本引擎讀寫(xiě)文件性能損耗圖。
[0011]圖2(b)為由于刪除擴(kuò)展文件屬性引起的腳本引擎讀寫(xiě)文件性能損耗圖。
[0012]圖2 (c)為由于設(shè)置擴(kuò)展文件屬性引起的腳本引擎讀寫(xiě)文件性能損耗圖。
[0013]圖3為本發(fā)明的總體框架圖。
[0014]圖4為本發(fā)明的一部分流程圖。
[0015]圖5為本發(fā)明的另一部分流程圖。
【具體實(shí)施方式】
[0016]下面結(jié)合附圖和具體實(shí)施示例對(duì)本發(fā)明進(jìn)行詳細(xì)闡述。
[0017]在本發(fā)明的描述中,將網(wǎng)絡(luò)服務(wù)器上用于存儲(chǔ)文件的軟硬件實(shí)體稱(chēng)為本地文件系統(tǒng)。在本地文件系統(tǒng)中,可以被網(wǎng)絡(luò)服務(wù)器共享到互聯(lián)網(wǎng)上以供下載的文件稱(chēng)為網(wǎng)絡(luò)文件,其余的文件稱(chēng)為本地文件。運(yùn)行在網(wǎng)絡(luò)服務(wù)器上專(zhuān)門(mén)執(zhí)行網(wǎng)絡(luò)腳本的軟件實(shí)體稱(chēng)為腳本引擎,網(wǎng)絡(luò)用戶(hù)通過(guò)瀏覽器訪(fǎng)問(wèn)網(wǎng)絡(luò)腳本,網(wǎng)絡(luò)腳本在腳本引擎的驅(qū)動(dòng)下向網(wǎng)絡(luò)用戶(hù)提供給類(lèi)網(wǎng)絡(luò)服務(wù)。
[0018]如圖3至圖5所示,本發(fā)明的總體上包括兩個(gè)部分:第一部分是將安全標(biāo)簽嵌入到網(wǎng)絡(luò)文件中;第二部分是腳本引擎將根據(jù)安全標(biāo)簽對(duì)其讀取的文件進(jìn)行強(qiáng)制訪(fǎng)問(wèn)控制。發(fā)明中的這兩個(gè)部分分別由若干個(gè)子步驟組合完成:其中第一部分由圖4中的步驟101至步驟104 (第一情況A)或步驟105至步驟108 (第一情況B)完成;第二個(gè)部分由圖5中的步驟109至步驟114完成。以下對(duì)圖4的各步驟和圖5的各步驟進(jìn)行詳細(xì)描述:
第一部分是將安全標(biāo)簽寫(xiě)入網(wǎng)絡(luò)文件,即將安全標(biāo)簽嵌入到網(wǎng)絡(luò)文件中,分第一情況A和第二情況B,具體如下:
第一情況A:網(wǎng)絡(luò)文件通過(guò)腳本引擎寫(xiě)入網(wǎng)絡(luò)服務(wù)器本地文件系統(tǒng)。
[0019]步驟101,網(wǎng)絡(luò)管理員通過(guò)HTTP協(xié)議將網(wǎng)絡(luò)文件上傳至網(wǎng)絡(luò)服務(wù)器。這種情況下的網(wǎng)絡(luò)文件上傳接口一般由網(wǎng)絡(luò)腳本開(kāi)放在互聯(lián)網(wǎng)上。
[0020]步驟102,在網(wǎng)絡(luò)文件通過(guò)HTTP協(xié)議上傳到網(wǎng)絡(luò)服務(wù)器后,網(wǎng)絡(luò)腳本將通過(guò)腳本引擎調(diào)用文件寫(xiě)函數(shù)。
[0021]步驟103,腳本引擎通過(guò)系統(tǒng)調(diào)
當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1