服务器-客户端协作的跨站脚本攻击防御方法

在网络应用的链接中注入恶意代码,以此欺骗用户浏览器,当用户访问这些网站时便会受到跨站脚本攻击.为此,提出基于服务器端-客户端协作的跨站脚本攻击防御方法.利用规则文件、文档对象模型完整性测试和脚本混淆监测等方法,提高脚本的检测效率和准确性.实验结果表明,该方法能获得良好的攻击防御效果.     

基于动态数据生成缺陷的XSS漏洞挖掘技术

XSS漏洞普遍存在于当前Web应用中,而且危害极其严重。随着Web2．0的到来,Web应用日趋大型化和复杂化,进一步为web漏洞的滋生提供了温床。针对大型web应用中复杂的数据组织结构,文章提出一种基于动态数据生成缺陷的XSS漏洞挖掘方法,能快速、高效地挖掘出大型Web应用中存在的XSS漏洞。同时,利用这一挖掘方法对web应用中存在的HTTPResponseSplitting漏洞、URLRedirection漏洞进行挖掘分析,都取得了非常显著的效果。     

支持产品设计的滑动轴承网络计算程序的研究

分析了如何将原有大量由Fortran编写的科学计算程序转换为能够在网络上提供计算服务的网络应用程序的问题。提出了将Fortran程序改编为动态链接库，并进一步包装为标准的COM组件的方法，在网页中调用组件进行计算，从而能够较好地实现在浏览器／服务器结构下通过计算程序资源的远程调用来支持产品的设计过程。     

SQLI和XSS漏洞检测与防御技术研究

文章针对Web安全漏洞中的SQLI和XSS漏洞,介绍了针对这两种漏洞的防御技术,并提出了一种新型的入侵检测系统.该系统采用Curl类库和Web请求,通过API接口分析和检测来自Web应用程序的交互,利用IDS服务器检测应用程序检测攻击行为,存储入侵记录.该技术最大的优势是跨平台性,可应用于多种Web应用程序.     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

Lom: Discovering logic flaws within MongoDB-based web applications

Logic flaws within web applications will allow malicious operations to be triggered towards back-end database. Existing approaches to identifying logic flaws of database accesses are strongly tied to structured query language (SQL) statement construction and cannot be applied to the new generation of web applications that use not only structured query language (NoSQL) databases as the storage tier. In this paper, we present Lom, a black-box approach for discovering many categories of logic flaws within MongoDBbased web applications. Our approach introduces a MongoDB operation model to support new features of MongoDB and models the application logic as a mealy finite state machine. During the testing phase, test inputs which emulate state violation attacks are constructed for identifying logic flaws at each application state. We apply Lom to several MongoDB-based web applications and demonstrate its effectiveness.     

Controlling Control Flow in Web Applications

Control flow is often key problem in current web applications. For example, using the back button gives a POSTDATA error, using multiple windows books the wrong hotel, and sending a link to a friend does not work.Previous solutions used continuations as a model for user interaction. However continuations are insufficient as a model of all web interactions. We believe the protocol and browsers themselves are insufficiently powerful to represent the control flow desired in a web application.Our solution is to extend the protocol and browser sufficiently that these problems can be avoided. We seek to be agnostic about how web applications are written and instead recognise that many of the problems stem from underlying weaknesses in the protocol.As an example, the application ought to be able to inform the browser that pressing back on a payment confirmation page is not allowed. Instead, the cached page can be displayed in a read-only, archive fashion to the user, or a new page can be shown instead which is consistent with the global state.We discuss how some of these ideas may be implemented within the existing HTTP/1.1 protocol; and what modest extensions to the protocol would enable full implementation. We also discuss the interaction with Web 2.0 and the security and privacy implications of our extensions.     

有关Ajax相关问题探讨与研究

由于网站的增加随之而来的网页浏览器的重要性也日益增加。利用Ajax方法实豌异步通信的网站模式，让用户看到网站如同桌面应用程序的操作与交互。对Ajax原理研究的同时介绍了利用Ajax技术需要注意的问题，使Web开发人员对该技术有一个新的认识。     

Flow-inspector: a framework for visualizing network flow data using current web technologies

New web technologies led to the development of browser applications for data analysis. Modern browser engines allow for building interactive real-time visualization applications that enable efficient ways to understand complex data. We present Flow-Inspector, a highly interactive open-source web framework for visualizing network flow data using latest web technologies. Flow-Inspector includes a backend for processing and storing large-scale network flow data, as well as a JavaScript-based web application capable to display and manipulate traffic information in real-time. This work provides operators with a toolkit to analyze their networks and enables the scientific community to create new and innovative visualizations of traffic data with an extensible framework. We demonstrate the applicability of our approach by implementing several different visualization components that help to identify topological characteristics in network flows.     

利用HTML5实现网页图表的研究

越来越多的网络应用程序开始使用B/S模式,从网站统计到企业报表,从普通的饼图到复杂的数据表格,越来越多的图表需要在浏览器中进行展示。通过对下一代网页标准HTML5中的一些新特性的研究,展示了通过这些新特性在web图表展示上的应用。     

Web应用浏览器兼容性的自动规范化方案

近年来万维嘲应用在中国正在飞速增长．但是在我国很多Web应用要求用户只能用IE浏览器．符合W3C组织制定的规范就能保证web应用跨浏览器的移植性．文中着眼于Web应用的特点,从遗留系统的角度来看待这个问题,提出了基于模型的自动规范化重构方法来解决这个问题．作为一个例子,构建了一个能够跨浏览器上访问小来只能用IE的中国银行的网上银行服务的实例,证明此方法能够有效解决国内现存Web应用的规范化问题．     

基于静态分析和动态检测的xss漏洞发现

Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例 是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元 动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。 分析表明,该方法能有效地发现W cb应用中的XSS漏洞。