XSS攻击分析与防御机制研究

XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。本文主要介绍了XXS漏洞产生原理,分析了XXS攻击的三种类型,然后针对XSS攻击的防御方法进行了介绍,主要介绍了基于特征的防御、基于代码修改的防御和客户端分层防御三种防御方法,最后简要介绍了XSS防御的发展趋势。     

针对Web-mail邮箱的跨站网络钓鱼攻击的研究

客户端脚本植入攻击是近年来攻击者常用的一种攻击手段,给Web应用程序带来了相当大的安全隐患。介绍了跨站脚本攻击和网络钓鱼攻击的原理及防御。分析了两种攻击在获取用户信息时的不全面,从而提出了一种针对Web-mail邮箱的跨站网络钓鱼攻击方法。这种攻击方法结合了跨站脚本攻击和网络钓鱼攻击,不仅能够获取用户邮箱的cookie、账号及密码,而且还可以获取用户的个人相关信息。最后,针对提出的攻击方法给出了防御措施。     

Web应用中XSS攻击的分析和防御

随着Web应用在互联网中的迅速发展,出现了大量的Web安全漏洞,其中最为突出的是跨站脚本（XSS）漏洞攻击.为了对Web应用中的XSS漏洞进行有效的检测和防御,通过分析XSS漏洞的特征及原理,总结出产生该漏洞攻击的几大主要原因,结合目前常用漏洞检测方法提出几种XSS漏洞攻击的防御方法,可有效识别和防范XSS漏洞攻击,对Web应用具有较高的实用性.     

使用跨站伪造请求(CSRF)来攻击网络设备

文中详细阐述了攻击者利用跨站伪造请求(CSRF)的方法来远程对网络设备开展攻击渗透的具体方法与步骤,阐明通过用户浏览器提交相关命令的操作过程,相关漏洞攻击的例子可有利于建立安全研究和安全审计的概念。     

防范跨站脚本攻击

您的网站安全吗？您的网站容易遭受跨站脚本攻击吗？ 跨站脚本攻击是代码注入的一种特例。在这种攻击中,恶意用户将HTML或其他的客户端脚本嵌入到您的Web站点中,让该攻击看似来自您的网站,用户将对此深信不疑,因此让攻击者可以绕过客户端的许多安全措施,从用户那里获取敏感信息,或传输恶意程序。     

Web安全问答（5）

问：什么叫XSS答：跨站脚本攻击（XSS）是攻击者通过将其构造的恶意脚本提交到网页中,或者将加入恶意脚本的网页诱使用户打开,然后恶意脚本就会将用户与网站的会话Cookie及其它会话信息全部截留发送给攻击者,攻击者就可以利用用户的Cookie正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中,诱使网站管理员打开这个话题,从而获得管理员权限,控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的,它影响所有的Web应用程序框架。     

Web安全问答（2）

问：XSS 答：跨站脚本攻击（XSS）是攻击者通过将其构造的恶意脚本提交到网页中,或者将加入恶意脚本的网页诱使用户打开,然后恶意脚本就会将用户与网站的会话Cookie及其它会话信息全部截留发送给攻击者,攻击者就可以利用用户的Cookie正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中,诱使网站管理员打开这个话题,从而获得管理员权限,控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的,它影响所有的Web应用程序框架。     

基于机器学习建模的XSS攻击防范检测

为了解决网络流量中跨站脚本攻击频发且攻击危害性高的问题,研究了基于机器学习算法建模的跨站脚本检测技术,从复杂的网络流量数据中发掘跨网站脚本(Cross-Site Scripting,XSS)攻击,然后结合专家经验和安全业务知识对数据进行打标学习,并采用机器学习技术训练算法模型,实现了对XSS攻击的自动化和智能检测功能....     

基于服务器端CSRF防御研究

跨站点请求伪造(CSRF)是一种对网站的恶意利用,它通过伪装来自受信用用户的请求利用受信任的网站,通过社会工程诱导受害者发送一些恶意请求。本文在阐述了CSRF的原理基础上,设计了一个基于服务器端CSRF防御模块,最后该方法与其他工具进行对比实验,结果表明,该方法可以更高效地防御CSRF攻击。     

网络钓鱼攻击分析和防范探讨

网络钓鱼攻击诱导用户访问虚假网站窃取用户姓名、账号、密码等敏感信息进而侵犯用户经济利益和隐私信息,影响极为恶劣。文章探讨了网络钓鱼攻击的方法、方式、检测技术、危害和预防措施,旨在为预防网络钓鱼攻击提供参考。     

Web网站的安全代码设计

针对Web网站突出的安全问题,详细分析了当前对Web网站安全威胁最严重的3种网络攻击：SQL注入、跨站和跨站请求伪造的实现原理和常用攻击方法,并结合研究和实践提出了具体的防范算法：采用过滤用户提交Web请求中的非法字符串代码实现了SQL注入及跨站的防范算法,具体代码使用了JSP中的Servlet过滤器实现;采用伪随机数对用户端身份进行持续认证的方式实现了跨站请求伪造算法,     

对多种Web语言嵌套的跨站过滤分析

由于网站服务的应用广泛性,跨站攻击已经上升为互联网中数量最多的攻击手段,对跨站代码的过滤已经成为各个网站的重中之重。网站要对跨站进行过滤就要充分了解跨站产生的机理,并且要理解数据代码在Web应用程序中的解析过程。这两点只是基本的要素,要想尽可能完全地过滤跨站代码,就要进一步针对各种语言解析模块之间的关系,研究和分析在各种模块互相嵌套下跨站的复杂性才行,这样根据各种情况才能得到降低跨站威胁的有效措施。     

Account hijacking threat attack detection for OAuth2.0 authorization API

OAuth2.0 protocol has been widely adopted to simplify user login to third-party applications,at the same time,existing risk of leaking user privacy data,what even worse,causing user accounts to be hijacked.An account hijacking attack model around authorization code was built by analyzing the vulnerabilities of the OAuth2.0 protocol.A vulnerable API identification method based on differential traffic analysis and an account hijacking verification method based on authorized authentication traffic monitoring was proposed.An account hijacking attack threat detection framework OScan for OAuth2.0 authorization API was designed and implemented.Through a large-scale detection of the 3 853 authorization APIs deployed on the Alexa top 10 000 websites,360 vulnerable APIs were discovered.The further verification showed that 80 websites were found to have threat of account hijacking attack.Compared with similar tools,OScan has significant advantages in covering the number of identity provider,the number of detected relying party,as well as the integrity of risk detection.     

基于优化LeNet-5的近红外图像中的静默活体人脸检测

针对当前交互式活体检测过程繁琐、用户体验性差的问题,提出了一种优化LeNet-5和近红外图像的静默活体检测方法。首先,采用近红外光摄像头构建了一个非活体数据集;其次,通过增大卷积核、增加卷积核数目、引入全局平均池化等方法对LeNet-5进行了优化,构建了一个深层卷积神经网络;最后,将近红外人脸图片输入到模型中实现活体静默活体检测。实验结果表明,所设计的模型在活体检测数据集上有较高的识别率,为99.95%,整个静默活体检测系统的运行速度约为18~22帧/s,在实际应用中鲁棒性较高。     

Automated crowdturfing attack in Chinese user reviews

The text-oriented automated crowdturfing attack has a series of features such as low attack cost and strong concealment.This kind of attack can automatically generate a large number of fake reviews,with harmful effect on the healthy development of the user review community.In recent years,researchers have found that text-oriented crowdturfing attacks for the English review community,but there was few research work on automated crowdsourcing attacks in the Chinese review community.A Chinese character embedding LSTM model was proposed to automatically generate Chinese reviews with the aim of antomated crowdturfing attacks,which model trained by a combination with Chinese character embedding network,LSTM network and softmax dense network,and a temperature parameter T was designed to construct the attack model.In the experiment,more than 50 000 real user reviews were crawled from Taobao's online review platform to verify the effectiveness of the attack method.Experimental results show that the generated fake reviews can effectively fool linguistics-based classification detection approach and texts plagiarism detection approach.Besides,the massive manually evaluation experiments also demonstrate that the generated reviews with the proposed attack approach perform well in reality and diversity.     

UDM:NFV-based prevention mechanism against DDoS attack on SDN controller

DDoS attack extensively existed have been mortal threats for the software-defined networking (SDN) controllers and there is no any security mechanism which can prevent them yet.Combining SDN and network function virtualization (NFV),a novel preventing mechanism against DDoS attacks on SDN controller called upfront detection middlebox (UDM) was proposed.The upfront detection middlebox was deployed between SDN switch interfaces and user hosts distributed,and DDoS attack packets were detected and denied.An NFV-based method of implementing the upfront middlebox was put forward,which made the UDM mechanism be economical and effective.A prototype system based on this mechanism was implemented and lots experiments were tested.The experimental results show that the UDM mechanism based on NFV can real-time and effectively detect and prevent against DDoS attacks on SDN controllers.     

基于CSS的认知无线电网络PUEA检测和缓解

针对认知无线电网络中的主用户仿真攻击问题,提出了一种基于能量检测的协作频谱感知方法.首先,假设存在一个智能攻击者,它能知道自己所处环境并可以选择不同的传输策略.然后,调整CSS规则和相关参数为能量探测器确定合适且有效的阈值.最后,利用Neyman-Pearson准则进行能量检测,从而检测出恶意攻击.仿真结果表明,相比传统的基于能量检测的频谱感知方法,该方法可以更好地减轻PUEA在频谱感知中的破坏作用.     

融入唇语识别技术提升人脸识别安全性的研究

为了解决人脸识别的安全性问题,提高对恶意攻击人脸识别系统的安全防护,使人脸识别技术能够获得更广泛应用,本文提出了在人脸识别技术上融入一种基于深度神经网络的唇语识别技术的系统。与现有的唇语识别技术不同的是,该系统主要是识别用户的唇动习惯。运用本系统,用户在进行人脸识别的同时可按照检测方的提示,读出相应的内容,并在对用户的人脸进行验证的过程中,对用户通过唇动说出的内容分别实现唇动识别、比对,从而有效地提升人脸识别的安全性水平。实验结果表明,在故意针对人脸识别系统的攻击中,融入本技术的系统有更好的识别准确率。