(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211067945.6 (22)申请日 2022.08.31 (71)申请人 深圳开源互联网安全技 术有限公司 地址 518000 广东省深圳市龙华区民治街 道民乐社区星河WORLD二期E栋401- 405 (72)发明人 何成刚　万振华　王颉　李华　 董燕　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 刘光明 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) G06F 21/57(2013.01) (54)发明名称 Web应用程序防护方法、 电子设备及计算机 可读存储介质 (57)摘要 本申请公开一种Web应用程序防护方法、 电 子设备及计算机可读存储介质， 方法包括： 创建 多个用户防护策略模板， 每个所述用户防护策略 模板包括至少一个安全漏洞防护规则； 从多个所 述用户防护策略模板选择待下发的所述用户防 护策略模板； 下发选择的所述用户防护策略模板 至目标服务器的探针， 所述探针利用RASP技术加 载在所述目标服务器的Web容器。 本申请使用户 可以根据实际业务通过Portal端进行防护策略 模板的随意、 个性化的创建， 有利于对产线上的 真实应用的不同场景进行针对性的实时防护。 权利要求书1页 说明书6页 附图3页 CN 115549977 A 2022.12.30 CN 115549977 A 1.一种基于RAS P的Web应用程序防护方法， 其特 征在于， 包括： 创建多个用户防护策略模板， 每个所述用户防护策略模板包括至少一个安全漏洞防护 规则； 从多个所述用户防护策略模板 选择待下发的所述用户防护策略模板； 下发选择的所述用户防护策略模板至目标服务器的探针， 所述探针利用RASP技术加载 在所述目标服 务器的Web容器。 2.如权利要求1所述的Web应用程序防护方法， 其特 征在于， 根据不同的应用创建各自对应的所述用户防护策略模板 。 3.如权利要求1所述的Web应用程序防护方法， 其特 征在于， 根据应用的不同场景创建各自对应的所述用户防护策略模板 。 4.如权利要求1所述的Web应用程序防护方法， 其特 征在于， 每个所述用户防护策略模板中的所述安全漏洞防护规则从预设的防护规则库中选取， 所述防护规则库存 储有若干所述 安全漏洞防护规则。 5.如权利要求 4所述的Web应用程序防护方法， 其特 征在于， 所述防护规则库中的安全漏洞防护规则包括： 不安全的反序列化攻击、 目录遍历攻击、 不安全的文件操作攻击、 表达式攻击、 SQL注入攻击、 服务器端请求伪造攻击、 存储型跨站脚 本攻击、 反射型跨站脚本攻击 。 6.一种基于RAS P的Web应用程序防护方法， 其特 征在于， 包括： 利用RASP技术在目标服 务器的Web容器加载探针； 利用所述探针接收Portal端下发的用户防护策略模板， 所述Portal端创建有多个所述 用户防护策略模板， 每 个所述用户防护策略模板包括至少一个安全漏洞防护规则； 通过所述探针接收的所述用户防护策略模板对所述 web容器中的应用进行防护。 7.如权利要求6所述的Web应用程序防护方法， 其特 征在于， 所述探针基于其防护引擎对所述web容器中的应用进行组件安全性检测、 组件版本检 测、 漏洞数据库比对以及漏洞 信息上报。 8.如权利要求6所述的Web应用程序防护方法， 其特 征在于， 还 包括： 将对所述 web容器中的应用进行防护过程中的安全攻击信息进行汇总； 如果存在安全漏洞， 则进行实时防护或者关闭当前应用。 9.一种电子设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至8任一项所述的 Web应用程序防护方法。 10.一种计算机可读存储介质， 其上存储有程序， 其特征在于， 所述程序被处理器执行 时实现如权利要求1至8任一项所述的Web应用程序防护方法。权　利　要　求　书 1/1 页 2 CN 115549977 A 2Web应用程序防护方 法、 电子设备及计算机可 读存储介质 技术领域 [0001]本申请涉及计算机技术领域， 具体涉及一种Web应用程序防护方法、 电子设备及 计 算机可读存 储介质。 背景技术 [0002]如今的web项目绝大多数是依靠防火墙和WAF(Web  Application  Fire ware)， 但 是这些传统的安全防护工具主要 是通过规则匹配和硬件相结合， 如云Waf。 但是这些技术大 部分是基于硬件相结合， 在web服务器的前端架设相关的硬件进 行安全漏洞的防御， 没有真 正的深入到应用的代码级别对web服 务器进行深层次的安全防御， 缺 点如下： [0003]1、 部署复杂， 成本高， 普适 性差。 [0004]2、 无法进行安全攻击的实时预警和防御。 [0005]3、 无法进行Web服 务器深层次的安全防御。 [0006]4、 没法解决用户的个性 化安全防御的需求。 发明内容 [0007]本申请的目的在于提供一种Web应用程序防护方法、 电子设备及计算机可读存储 介质， 能够解决上述至少一 技术问题。 [0008]为实现上述目的， 本申请提供了一种基于RAS P的Web应用程序防护方法， 包括： [0009]创建多个用户防护策略模板， 每个所述用户防护策略模板包括至少一个安全漏洞 防护规则； [0010]从多个所述用户防护策略模板 选择待下发的所述用户防护策略模板； [0011]下发选择的所述用户防护策略模板至目标服务器的探针， 所述探针利用RASP 技术 加载在所述目标服 务器的Web容器。 [0012]可选地， 根据不同的应用创建各自对应的所述用户防护策略模板 。 [0013]可选地， 根据应用的不同场景创建各自对应的所述用户防护策略模板 。 [0014]可选地， 每个所述用户防护策略模板中的所述安全漏洞防护规则从预设的防护规 则库中选取， 所述防护规则库存 储有若干所述 安全漏洞防护规则。 [0015]可选地， 所述防护规则库中的安全漏洞防护规则包括： 不安全的反序列化攻击、 目 录遍历攻击、 不安全的文件操作攻击、 表达式攻击、 SQL注入攻击、 服务器端请求伪造攻击、 存储型跨站脚本攻击、 反射型跨站脚本攻击 。 [0016]可选地， 利用RAS P技术在目标服 务器的Web容器加载探针； [0017]利用所述探针接收P ortal端下发的用户防护策略模板， 所述P ortal端创建有多个 所述用户防护策略模板， 每 个所述用户防护策略模板包括至少一个安全漏洞防护规则； [0018]通过所述探针接收的所述用户防护策略模板对所述 web容器中的应用进行防护。 [0019]可选地， 所述探针基于其防护引擎对所述web容器中的应用进行组件安全性检测、 组件版本检测、 漏洞数据库比对以及漏洞 信息上报。说　明　书 1/6 页 3 CN 115549977 A 3