Web二阶攻击与防范实验设计

针对Web安全二阶漏洞隐藏深、难以检测等特点,设计了Web二阶攻击与防范实验环境,内置了四种常见Web安全二阶漏洞。实验采用任务驱动法教学模式,分阶段循序渐进,教学过程分为Web二阶攻击、漏洞分析和代码修复三个阶段。通过实验,学生能深刻领会Web二阶攻击的存储特性,快速掌握Web安全二阶漏洞检测和防范知识,提高分析和解决Web安全问题的能力。     

基于反过滤规则集和自动爬虫的XSS漏洞深度挖掘技术

为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的注入入口,以实现对Web跨站漏洞深度挖掘.提出的XSS漏洞挖掘技术在邮箱XSS漏洞挖掘及Web网站XSS漏洞检测方面的实际应用验证了该技术的有效性.     

基于符号执行的Unlink攻击检测方法

Unlink攻击是一种Linux平台下面向堆溢出漏洞的攻击方式.已有的缓冲区溢出漏洞攻击检测技术通过检查程序控制流状态来确定程序漏洞触发点,并生成测试用例.但由于堆溢出数据很少直接导致程序控制流劫持以及相关保护机制的限制,已有的检测技术很难判断程序是否满足堆溢出攻击条件.为了提高程序的安全性,实现对Unlink攻击的检测,文中通过对已有Unlink攻击实例的分析,总结了Unlink攻击特征,建立了Unlink攻击检测模型,并根据该模型提出了Unlink攻击检测方法.该方法使用污点分析实现了对程序输入数据以及敏感操作的监控;使用符号执行技术构建程序污点变量传播的路径约束以及触发Unlink攻击的数据约束;通过对上述约束的求解,判断程序堆溢出漏洞是否满足Unlink攻击触发条件,并生成测试用例.实验结果表明,该方法能有效地实现针对Unlink攻击的检测.     

基于ASP.NET平台的SQL注入攻击分析及防范措施

SQL注入攻击正成为近年来攻击者最有效的Web入侵入手段,它是2008年排名第三的网络漏洞攻击,它不仅能收集用户的帐号和密码,甚至能将木马植入网站中,这就使得用户对正在兴起的网络购物、网络支付、网游产业的安全信心遭到严重打击。     

SQL注入攻击与防范实验的设计与实现

介绍了SQL注入的原理、攻击和防范技术,并通过设计具体实验方案演示了SQL注入攻击与防范的全过程及细节。通过搭建存在SQL注入漏洞的Web网站并对其进行SQL注入攻击,观察被攻击的效果,进行漏洞修复。对漏洞修复后的系统进行攻击,并对比修复漏洞前后的现象,以此得出SQL注入漏洞的原理、产生原因、对应攻击原理及如何防范漏洞,加深对SQL注入的理解。     

防止SQL注入攻击策略与实现

防止SQL注入攻击是维护Web安全的一个重要课题.避免程序设计漏洞和缺陷、构建安全的数据库访问代码、合理配置管理权限是防止SQL注入攻击的重要策略.ASP.Net和SQLServer提供的防止策略和工具,可以很好地解决防止SQL注入攻击问题,为Web安全构建一道重要屏障.     

微软发布4个补丁程序 修补20个Windows漏洞

<正> 微软发布至少20个Windows缺陷的补丁程序,其中数个漏洞可以导致各个版本的Windows遭受新病毒和蠕虫的攻击。 其中至少6个漏洞使Windows系统面临类似”冲击波”及其变种蠕虫病毒的攻击。另有一个漏洞影响IE浏览器、Outlook以及Outlook Express共用的一个文件,这一漏洞可以导致用户在点击某个专门的Web链接时执行相关病毒程序。 微软发布了四个补丁程序以修补这20个安全漏洞,这也是微软阅读更新计划的一部分。微软没有确定这些漏洞的风险级别,但指出,使用这些补丁进行了系统更新的公司将不会再有危险。微软安全反应中心安全项目经理Stephen Toulouse称,那些开启了个人防火墙的用户所面临的风险较低。     

网络环境中XSS漏洞攻击与防御研究

本文针对Web应用程序下的XSS漏洞攻击进行分析,以XSS攻击概念为切入点,对其漏洞分类、攻击形式进行分析,通过详细的理论论述谭涛涛出有效防御措施。     

基于特征策略的XSS漏洞检测技术研究

Web漏洞日渐成为网络安全的一个重要隐患,尤其是.近年来较为流行的XSS跨站脚本漏洞,其危害性及快速的传播能力都越来越严重.针对Web和程序的诸多漏洞过滤不严的现状,提出了基于特征匹配的XSS漏洞检测.实验证明该方法能够有效地减少检测漏报率和误报率,在实际应用中也取得了很好的效果.     

基于记忆的关键信息基础设施安全检测技术

提出基于记忆的关键信息基础设施安全检测技术,针对传统的入侵检测技术（IDS）、Web应用防火墙（WAF）技术在Web攻击检测方面的局限性,通过对Web应用攻击周期3个过程的全面分析理解,基于攻击链技术,可以对Web数据进行双向分析即时数据及历史数据,检测各种碎片化、持续性的攻击手段,并且能在黑客利用攻击时,同步感知各种漏洞,实时了解和掌握网络风险状况.      

交换网络ARP协议欺骗的监听技术分析研究

利用ARP协议的漏洞进行网络监听是黑客常用的攻击手段之一.文章首先阐述了交换网络下的网络监听技术现状,深入分析了ARP协议的工作原理和存在漏洞;其次,利用WINPCAP数据包捕获机制,给出了一个基于ARP协议欺骗以及恢复的实验模型;最后提出了防范ARP欺骗的几种方法,在实际应用中效果较好.     

网络安全与对策

目前,计算机网络安全问题受到人们越来越多的关注。网络安全具有广泛的内容,涉及网络硬件、软件、协议等很多因素,该文从操作系统漏洞、可被黑客利用的TCP/IP协议漏洞、病毒等方面分析了网络中存在的安全隐患问题,并针对网络安全问题总结了一些通用的对策。     

Web数据库安全中间件设计与实现

为了解决Web数据库日益严重的安全问题,在Web应用程序和Web数据库之间建立了一个Web数据库安全中间件。对Web数据库的身份认证、数据加密/解密、漏洞检测、操作审计四个方面进行控制和管理。使用基于Web服务和组件的设计理念和Java技术实现了平台无关性和可维护性,从而切实提高Web数据库在网络环境下的安全性。     

基于XML和XSL的Web应用架构研究

针对目前Web浏览器终端的多平台特点,在分析了现有Web应用架构的相关实现之后,通过研究XML和XSL的技术特点,以及如何达到多平台网络编程的高效性、稳定性和可扩展性,本文提出一种基于XML和XSL的Web应用架构,并给出一个天气预报Web服务系统的应用架构实现.     

实现Web物两种策略

Web页已不更仅仅是纯HTML档,而正在被能够保进处理动态交互作用的Web应用程序所替代,两类Web应用程序设计技术中,服务器端技术比客户端技术发展更快。     

ASP技术与Web应用

随着计算机网络和web技术的飞速发展，越来越多的应用集成到web这个开放的平台上。ASP作为目前一种比较成熟的服务器端脚本编写环境，在WEB制作中得到广泛的应用。主要介绍了ASP技术在制作WEB中查询系统、计数器、网上考试等方面的具体应用。     

关于“Cookie-Cutter集的性质”一个注

指出了专著"Techniques in Fractal Geometry"中关于Cookie-Cutter集的性质的一个小疏漏,给出了反     

网络环境下多进程实时通信技术研究

介绍了在网站建设中客户机/服务器方式的实时通信技术,以及怎样使用套接字实现网络通信编程,并结合实例说明在Delphi中如何用套接字实现客户/服务器方式的通讯编程。     

“Web应用程序设计”课程教学改革探索

从培养应用型专业人才的角度出发,在分析和探讨了"Web应用程序设计"课程教学现存问题和教学改革目标的基础上,提出了多层式程序设计模式与具体工程案例相结合的教学模式,阐述了旨在提高学生Web应用程序开发能力的课程改革与探索。