共查询到20条相似文献,搜索用时 113 毫秒
1.
2.
为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找到多种非格式化注入点,并通过综合考虑字符串长度、字符种类等因素对攻击向量进行了优化,以绕过服务器的过滤函数,缩短漏洞测试所用的时间.测试结果表明所提方法提高了漏洞注入点的检测覆盖率,提升了XSS漏洞的检测效果. 相似文献
3.
针对攻击模型会因为描述的攻击参数不完备,导致实际应用价值降低的问题,提出一种以漏洞为基本粒度,基于时间Petri网的渗透测试攻击模型及构建方法. 该方法对已知漏洞列表构建单漏洞利用模型,通过整合形成渗透测试攻击模型,并提供快速和稳定的漏洞利用方案选择算法,获得相应攻击方案,以及完成一次渗透攻击所需最短时间. 实验结果表明,该模型及算法可以有效地描述攻击时间和攻击稳定性,可实际应用于渗透测试. 相似文献
4.
传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。 相似文献
5.
安晓瑞 《甘肃联合大学学报(自然科学版)》2013,(4):74-78
ASP是一种开发简单、功能强大的动态Web技术,通过Windows系统IIS提供WEB服务,许多政府、事业单位的网站都使用该语言进行开发.由于ASP自身及IIS存在安全隐患,网页挂马就是利用其漏洞进行攻击.网页挂马不仅对网站的安全运行造成威胁,而且对于用户来说,有可能造成个人信息泄露、各种账户及密码被窃取等严重影响.本文就网页挂马的运行原理、危害进行了详细地论述,并结合实践提出网页挂马的检测方法及预防对策. 相似文献
6.
Unicode漏洞的攻击与防御 总被引:1,自引:0,他引:1
随着网络攻击事件的频繁发生,如何保护系统并有效防御攻击成为系统安全的主要问题.针对Unicode漏洞屡遭攻击这一现状,通过对Unicode漏洞的详尽分析,例举了对Unicode漏洞进行攻击的方式和方法,根据攻击的特点,为系统的安全提出了相应的防御措施和安全策略. 相似文献
7.
孙浩鹏 《长春工程学院学报(自然科学版)》2004,5(4):62-64
阐述了校园网的几种漏洞及其攻击方式,讲述了漏洞的成因和预防.分步对漏洞攻击的详细步骤进行了叙述,针对所举的漏洞各自的攻防策略进行分析并提出预防和改进方法. 相似文献
8.
针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。 相似文献
9.
缓冲区溢出攻击和CoreDump攻击是两种常见的权限提升类漏洞攻击。通过分析攻击原理,指出了攻击产生的原因及危害,并提出一种主动防御攻击的新方案。 相似文献
10.
所谓WEB应用,通俗地讲,就是企事业机构在互联网上开放的应用入口,也是通常意义上人们常说的“网站”,其前端接受用户在wEB浏览器上发送请求,后端则和企业后台的数据库及其他内部动态内容通信.由于WEB应用的天然开放性,以及各种WEB软硬件漏洞的不可避免性,使得黑客们将注意力从以往对网络服务器的攻击逐步转移到了对WEB应用的攻击上. 相似文献
11.
针对Word软件在富文本格式(RTF)文档解析的漏洞利用攻击,通过对Word程序的逆向分析,研究其在RTF文档解析中产生缓冲区溢出漏洞的原理,并提出一种基于指令回溯及特征数据构造的漏洞分析方法.通过该方法分析Word漏洞的触发原因、触发点和触发机制,给出了面向RTF文档的缓冲区溢出漏洞的分析流程.实验测试结果证明:该方法能有效检测出Word的RTF文档解析漏洞. 相似文献
12.
介绍了SQL注入的原理、攻击和防范技术,并通过设计具体实验方案演示了SQL注入攻击与防范的全过程及细节。通过搭建存在SQL注入漏洞的Web网站并对其进行SQL注入攻击,观察被攻击的效果,进行漏洞修复。对漏洞修复后的系统进行攻击,并对比修复漏洞前后的现象,以此得出SQL注入漏洞的原理、产生原因、对应攻击原理及如何防范漏洞,加深对SQL注入的理解。 相似文献
13.
《华中科技大学学报(自然科学版)》2016,(Z1):20-24
结合信息流分析与控制流分析,获取Android应用函数调用图和敏感数据传播路径,提出一种基于静态分析的漏洞挖掘方法.通过使用多种逆向分析方法,该系统能够反编译成功大多数执行文件.根据Android应用反编译的中间代码,逐个分析与某些对象相关的漏洞,提高漏洞挖掘的准确性.分析了15种常见漏洞,并使用实际应用市场中的应用和样例应用进行了分析,验证了系统的准确性和可用性. 相似文献
14.
冯潇 《北京联合大学学报(自然科学版)》2009,23(2)
远程缓冲区溢出漏洞是网络安全领域最严重的安全漏洞.而远程过程调用广泛应用于分布式环境中,是发起远程缓冲区溢出攻击的常见手段.首先,阐述缓冲区溢出的基本原理,给出windows下利用远程过程调用发起远程缓冲区溢出攻击的一般方法和主要流程,通过一个缓冲区溢出漏洞利用的实例,说明攻击流程和分析方法的有效性,为如何在网络环境下有效防范缓冲区溢出漏洞利用提供指导. 相似文献
15.
为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的注入入口,以实现对Web跨站漏洞深度挖掘.提出的XSS漏洞挖掘技术在邮箱XSS漏洞挖掘及Web网站XSS漏洞检测方面的实际应用验证了该技术的有效性. 相似文献
16.
目前网站的安全问题日益突出,详细地介绍了XSS攻击的漏洞类型,并对每种漏洞攻击进行了实例分析,通过对真实的入侵实例进行分析,总结了XSS攻击防范的方法,为XSS攻击防范提供了一些参考,减少了网站被XSS攻击的可能性。 相似文献
17.
我国恶意网站现状及防治对策研究 总被引:1,自引:0,他引:1
浏览恶意网站是我国网民感染计算机病毒的主要途径之一.作为地下病毒产业链的重要环节.恶意网站通过增加攻击漏洞的数量、转移利用漏洞的重点以及借助APR病毒对正常网页的恶意感染来传播恶意网页.针对以上情况,可以通过规范国产软件的漏洞发布机制、对漏洞信息进行规范管理、建立安全厂商和ISP的沟通渠道、加装反病毒软件和安全补丁以及加强网民安全意识实现对恶意网站的有效防治. 相似文献
18.
针对Web应用中普遍存在SQL注入漏洞等问题,提出了一种基于证明树反演的漏洞定位方法.该方法可对攻击产生的根源直接进行源代码的漏洞挖掘,其核心思想是:通过在脚本中反向追踪数据库操作所涉及的变量来检验其是否受到外界的影响,从而达到控制数据库操作的安全隐患.实验结果表明,所提方法能够准确验证53.8%的数据库操作的安全性,对于不能做出自动判定的风险操作,则能给出变量的依赖关系.该方法适用于以各种脚本语言和数据库系统搭建的Web应用平台. 相似文献
19.
针对网络节点抗漏洞攻击能力弱、网络鲁棒性差的情况,提出一种基于图论的鲁棒性增强算法.首先介绍基于图论和多样性的网络鲁棒性策略,提出节点相关度的概念、分类描述及量化指标;其次分析多样性对各种漏洞攻击的作用.对采用该算法生成的一种30个节点、4种着色方案的图进行详细分析,对由本算法生成的六种图的统计特征进行归纳.实例表明,依照该算法构建的网络是一种较均匀的网络,这种网络能有效增强节点的抗漏洞攻击能力,阻断各种可能的漏洞攻击在节点之间的渗透和传播,减少相继故障,避免雪崩效应,具有较强的鲁棒性. 相似文献
