一种降低越权漏洞风险的企业微信应用代理系统

技术领域

本发明涉及一种应用代理系统，特别是涉及一种降低越权漏洞风险的企业微信应用代理系统。

背景技术

目前互联网中存在的最严重的漏洞之一是越权访问这类漏洞，如在URL越权漏洞中，利用URL传入参数的可猜测性，通过变更输入的参数值，就可能造成横向越权访问，拿到他人私有信息。URL越权漏洞是一种危害非常大的业务逻辑漏洞，它可以直接绕过基础的网络安全服务防御，越权漏洞发现难度大。越权漏洞能够被攻击者利用，造成越权访问，导致用户敏感信息的泄漏。

在目前企业微信使用过程中，漏洞出现频繁。其中在一次使用企业微信时，对企业微信6个应用进行安全扫描，共发现严重问题201个、高危问题60个、中危问题79个、低危问题826个。经过大量时间的修正、打补丁，共修复严重问题172个、高危问题35个、低危问题826个，消耗了巨大的人力物力。这些漏洞可以归纳为同一类型漏洞，即用户越权漏洞，存在很大的风险。

因此，在使用企业微信时，无法控制对企业微信本地版客户端对互联网资源的访问。为了信息的安全和保密性，有必要寻找一种降低企业微信内轻应用越权漏洞风险的系统。

发明内容

本发明的目的是针对企业微信内轻应用使用时的信息的安全和保密性，提出一种降低越权漏洞风险的企业微信应用代理系统，以降低越权漏洞风险，实现企业微信本地版的PC和手机客户端通过应用代理安全、可控的访问企业微信轻应用服务。

为实现上述目的，本发明提供了一种降低越权漏洞风险的企业微信应用代理系统，包括：

部署在外网的企业微信本地版客户端；

部署在内网的应用服务器，所述应用服务器提供企业微信轻应用服务；

部署在内网的应用代理，所述应用代理部署在企业微信本地版接入机上，或者部署在独立的应用代理服务器上；所述应用代理提供对应企业微信本地版集群所有企业微信本地版客户端对企业微信轻应用访问的http/https代理，所述应用服务器通过应用网关与应用代理建立连接；

在启用应用代理后，所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理，并由应用代理进行代理访问企业微信轻应用服务，并返回结果给企业微信本地版客户端。

优选地，所述企业微信本地版客户端和应用代理之间使用https加密访问。

优选地，所述应用代理在启用后，将对企业微信轻应用访问的Ticket进行检测，仅代理带有合法Ticket的访问到企业微信轻应用服务上。

优选地，所述应用代理仅在企业微信内H5页面内执行，所述企业微信轻应用页面在企业微信内置的webview内执行。

优选地，所述企业微信应用代理系统的网络访问策略包括：

互联网访问接入服务器的80/443和8080这2个TCP端口；

接入服务器访问互联网的80/8080/443/2195/2196这5个TCP端口；

接入服务器访问存储/逻辑服务器的80/8080这2个TCP端口；

存储/逻辑服务器访问接入服务器80/8081这2个TCP端口；

应用代理服务器到企业微信本地版逻辑存储机的80端口的访问策略；

企业微信本地版客户端到应用代理服务器12569端口的访问策略，以及应用代理服务器到应用服务的访问策略；

接入机前端由F5接入，F5的工作模式配置为透明模式；

当应用代理启用HTTPS代理模式时，用户为应用代理配置证书。

优选地，通过管理端配置启用应用代理的步骤包括：

(1)、在1.3.0-patch3以上的后台版本通过管理端配置：管理工具->应用代理->开启应用代理；

(2)、在内部服务器地址和外部服务器地址分别填写应用代理服务器的内外网域名，保存；

(3)把smartgate.tar.gz上传至接入机/home/wwlocal目录下，执行解压:

cd/home/wwlocal

tar-zxf smartgate.tar.gz

cd/home/wwlocal/wwlops

./SETUPSMARTGATE.sh。

基于上述技术方案，本发明的优点是：

本发明的降低越权漏洞风险的企业微信应用代理系统通过部署应用代理之后，企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务，以实现企业微信本地版客户端对企业微信应用或短信、邮件网关等相关服务的代理访问，保证了信息的安全和保密性。

本发明的企业微信应用代理系统属于轻量级，部署和配置简单，可以和企业微信本地部署版紧密集成，便于一体化部署和管理维护。在后台配置好之后在企业微信客户端可以无感知使用，自动实现加密的隧道访问，不需要单独再开启VPN隧道，且可以支持企业内网和外网有多个复杂网络安全域划分情况下的跨网络安全访问。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为企业微信应用代理系统示意图；

图2为外网客户端在企业微信应用代理系统部署后的访问逻辑图；

图3为办公网客户端在企业微信应用代理系统部署后的访问逻辑图；

图4为管理端配置启用应用代理示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

本发明提供了一种降低越权漏洞风险的企业微信应用代理系统，如图1～图4所示，其中示出了本发明的一种优选实施方式。

应用代理是一个与企业微信本地版相集成的轻量级应用代理服务，工作模式是为企业微信内轻应用访问提供HTTP/HTTPS代理通道。部署应用代理之后，企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务。

如图1所示，所述企业微信应用代理系统包括：部署在外网的企业微信本地版客户端；部署在内网的应用服务器，所述应用服务器提供企业微信轻应用服务；部署在内网的应用代理，所述应用代理部署在企业微信本地版接入机上，或者部署在独立的应用代理服务器上；所述应用代理提供对应企业微信本地版集群所有企业微信本地版客户端对企业微信轻应用访问的http/https代理，所述应用服务器通过应用网关与应用代理建立连接。

在启用应用代理后，所述企业微信本地版客户端内嵌的代理机制引导流量仅访问应用代理，并由应用代理进行代理访问企业微信轻应用服务，并返回结果给企业微信本地版客户端。

本发明的企业微信应用代理系统属于轻量级，部署和配置简单，可以和企业微信本地部署版紧密集成，便于一体化部署和管理维护。在后台配置好之后在企业微信客户端可以无感知使用，自动实现加密的隧道访问，不需要单独再开启VPN隧道，无需安装VPN软件，也不需要单独购买VPN服务；且可以支持企业内网和外网有多个复杂网络安全域划分情况下的跨网络安全访问。

所述企业微信应用代理系统提供对应企业微信本地版集群所有终端对应用访问的http/https代理。优选地，所述企业微信本地版客户端和应用代理之间使用https加密访问。由于是应用代理，其仅在企业微信内H5页面内执行，所述企业微信轻应用页面在企业微信内置的webview内执行。

进一步，所述应用代理在启用后，将对企业微信轻应用访问的Ticket进行检测，仅代理带有合法Ticket的访问到企业微信轻应用服务上。

以往应用的访问方式是企业微信本地版客户端直接访问应用服务器，为了能正常访问，需要开通PC、移动客户端到应用服务的网络访问策略；同时无法控制对企业微信本地版客户端对互联网资源的访问，有一定的安全隐患。所述企业微信应用代理系统启用应用代理后，企业微信本地版客户端内嵌的代理机制会引导流量只访问应用代理，并由应用代理代理访问具体应用，并返回结果给客户端，因此可以对应用进行一定程度的管控，其采用的是收拢应用访问策略。

目前常见场景为客户有内外网多套环境网络，不同网络间有严格的访问隔离。为了信息的安全和保密性，企业微信应用代理系统中应用部署在内网，而外网企业微信本地版移动端并不能直接访问内网应用，此时可通过应用代理做代理实现外网到内网应用的访问。

优选地，所述企业微信应用代理系统的网络访问策略包括：

互联网访问接入服务器的80/443，和8080这2个TCP端口；

接入服务器访问互联网的80/8080/443/2195/2196这5个TCP端口；

接入服务器访问存储/逻辑服务器的80/8080这2个TCP端口；

存储/逻辑服务器访问接入服务器80/8081这2个TCP端口；

应用代理服务器到企业微信本地版逻辑存储机的80端口的访问策略；

企业微信本地版客户端到应用代理服务器12569端口的访问策略，以及应用代理服务器到应用服务的访问策略；

接入机前端由F5接入，F5的工作模式需要配置为透明模式(4层)而非透传或代理模式(7层)；

当应用代理启用HTTPS代理模式时，用户为应用代理配置证书；

如图2、图3所示，其分别显示了外网客户端在企业微信应用代理系统部署后的访问逻辑图和办公网客户端在企业微信应用代理系统部署后的访问逻辑图。

应用代理在部署时，在所有逻辑服务器上通过管理端启用配置应用代理服务的步骤包括：

(1)、1.3.0-patch3以上的后台版本支持应用代理。默认情况下应用代理不启用，若需要启用应用代理，可以通过管理端来配置。在1.3.0-patch3以上的后台版本通过管理端配置：管理工具->应用代理->开启应用代理。

(2)、在内部服务器地址和外部服务器地址分别填写应用代理服务器的内外网域名，保存，如图4所示。

(3)把smartgate.tar.gz上传至接入机/home/wwlocal目录下，执行解压:

cd/home/wwlocal

tar-zxf smartgate.tar.gz

cd/home/wwlocal/wwlops

./SETUPSMARTGATE.sh。

至此应用代理服务全部部署完。

以下进一步对应用代理配置进行说明：

在本实施例中，应用代理部署路径为/home/wwlocal/smartgate，其中conf/settings.json为应用代理HTTP代理配置文件，conf/config.json为应用代理HTTPS代理配置文件。

conf/settings.json如下：

conf/config.json如下：

应用代理的日志配置说明如下：

verfiy st日志，该日志记录了每个请求的ST验证结果：

decrypt_st日志，该日志记录了每个新ST的解密验证结果，解密后智能网关会缓存结果：

本发明的降低越权漏洞风险的企业微信应用代理系统通过部署应用代理之后，企业微信本地版的PC和手机客户端就可以通过应用代理安全、可控的访问企业微信轻应用服务，以实现企业微信本地版客户端对企业微信应用或短信、邮件网关等相关服务的代理访问，保证了信息的安全和保密性。

最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。