常见网站漏洞及其防御

针对以ASP脚本作为编码的网站,从SQL注入、跨站攻击、挂马三个方面分析了常见网站漏洞及其防御措施在网站管理中的应用。以网站开发者的角度对网站常见漏洞原理、漏洞所致后果以及漏洞的预防方法进行了分析和探讨。     

SQL注入漏洞检测与防御技术研究

SQL注入漏洞已成为当前Web应用程序的主要安全漏洞之一,其危害巨大,受到学术界和工业界的高度重视和广泛关注。首先对SQL注入漏洞的起因、漏洞注入方式及其危害进行了系统的概述,然后重点分析和比较了几种SQL注入漏洞检测技术的优缺点,之后归纳了三种在不同层次上抵抗SQL注入攻击的防御技术,最后在总结现有技术的基础上,指出了未来的研究重点和方向。     

一种XSS漏洞检测方法的设计与实现

跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导致漏洞检测率相对较低。针对现有漏洞检测技术的不足之处,加强对隐含页面的DOM结构分析,提出基于DOM状态改变的方式查找漏洞注入点的方法。在此基础上提出基于页面交互点相关的漏洞检测方法,设计并实现了漏洞检测原型系统。实验证明,该原型系统能够找到更多的漏洞注入点,能有效地提高漏洞检测率。     

基于EBNF和二次爬取策略的XSS漏洞检测技术*

跨站脚本（XSS）攻击是目前互联网安全的最大威胁之一。针对传统基于渗透测试技术的漏洞检测方法中攻击向量复杂度低易被过滤、整体检测流程繁琐等问题,提出了一种基于扩展巴科斯范式（EBNF）的攻击向量自动生成方法和XSS漏洞二次爬取策略。通过定义EBNF规则生成规则解析树,按层次遍历获得高复杂度攻击向量。在首次爬取页面时,将输入点信息嵌入到攻击向量后请求注入,之后进行二次爬取,请求合法参数获得返回页面。最后设计实现了原型系统,并使用两个平台进行漏洞检测。通过对比实验证明,该系统检测流程简单,在一定程度上提高了漏洞检测数,降低了漏洞误报率。     

Web漏洞检测与防御策略研究

Web漏洞是程序员在开发应用程序时,没有考虑到的安全缺陷或不足。随着网络大众化和Web技术的飞速发展,在线购物、网上银行、网络办公等形式应用遍布我们的生活,同时Web安全风险达到前所未有的高度。其中,跨站脚本漏洞数量最为庞大、形态各异且威胁性极强,位列漏洞排行榜第三位。跨站脚本漏洞一旦被攻击,可泄露用户隐私,回话被监听等各种严重后果。本文通过对当前主要漏洞的分析和规整,依据攻击原理,提出相应的防御措施和建议。     

基于SVM分类器的XSS攻击检测技术

Web应用高速发展的同时产生了大量安全漏洞,跨站脚本攻击(XSS)就是危害最为严重的Web漏洞之一,而基于规则的传统XSS检测工具难以检测未知的和变形的XSS。为了应对未知的和变形的XSS,文中提出了一种基于支持向量机(SVM)分类器的XSS攻击检测方案。该方案在大量分析XSS攻击样本及其变形样本和正常样本的基础上,提取最具代表性的五维特征并将这些特征向量化,然后进行SVM算法的训练和测试。通过准确率、召回率和误报率3个指标来对分类器的检测效果进行评价,并优化特征提取方式。改进后的SVM分类器与传统工具和普通SVM相比性能均有所提升。     

Web应用中的攻击防御技术的研究与实现

该文介绍了SQL注入式攻击、XSS跨站脚本攻击、会话劫持3种网络攻击手段的原理,并在此基础上重点论述了如何防范这些攻击的方法。     

基于动态数据生成缺陷的XSS漏洞挖掘技术

XSS漏洞普遍存在于当前Web应用中,而且危害极其严重。随着Web2．0的到来,Web应用日趋大型化和复杂化,进一步为web漏洞的滋生提供了温床。针对大型web应用中复杂的数据组织结构,文章提出一种基于动态数据生成缺陷的XSS漏洞挖掘方法,能快速、高效地挖掘出大型Web应用中存在的XSS漏洞。同时,利用这一挖掘方法对web应用中存在的HTTPResponseSplitting漏洞、URLRedirection漏洞进行挖掘分析,都取得了非常显著的效果。     

基于哈希树和有限状态机的XSS检测模型

目前对于跨站脚本(XSS)攻击缺乏有效的防御措施.针对该问题,提出一种基于哈希树的多模式匹配模型,以快速检测XSS攻击.将质数分辨定理作为哈希散列函数的基础,对特征值进行编码,使其成为特征节点进行动态增减,以构建哈希树,并结合改进的确定性有限状态机算法提取多模式相似度攻击向量,实现多模式匹配的快速检测.实验结果表明,该模型的检测准确率较高,漏报率和误报率较低,能满足大范围XSS脚本攻击的防范要求.     

一种基于网络爬虫的跨站脚本漏洞检测方法

跨站脚本(Cross Site Scripting,简称XSS)是Web应用程序中常见的一种安全漏洞,它允许恶意的Web用户将代码植入到提供给其他用户使用的页面中,从而进行XSS攻击。在分析XSS存在形式、攻击过程和攻击原理的基础上,提出了一种基于网络爬虫的XSS漏洞检测方法,通过实验验证了其有效性。     

自动化检测Android应用反射型跨站脚本漏洞的方法

提出一种自动化检测Android应用反射型跨站脚本漏洞的方法,通过对Android应用组件的识别和分类,自动化输入测试例和点击与输入框关联的按钮,监测运行结果判断应用是否具有潜在的反射型跨站脚本漏洞,并通过图像处理方法实现了对WebView的支持。基于该方法实现了一个原型工具。实验表明,该方法可以有效的检测Android应用的反射型跨站脚本漏洞,具有较高的实用性。     

基于静态分析和动态检测的xss漏洞发现

Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例 是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元 动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。 分析表明,该方法能有效地发现W cb应用中的XSS漏洞。     

基于模糊测试和遗传算法的XSS漏洞挖掘

为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。     

XSS漏洞分析与攻击平台的搭建

XSS是一种在Web应用中的计算机安全漏洞,它能让Haker将代码植入到其他用户使用的页面中.虽然XSS漏洞本身的机制比较简单,但由于当今B/S结构的高度发展,网站需要实现的需求越来越多样化,复杂的逻辑关系导致了XSS屡禁不止.文中从Haker和Web开发者的角度对XSS攻击进行分析,旨在为XSS的防治提供一个良好的解决方案.     

类图像处理面向大数据XSS入侵智能检测研究

通过类图像处理方法对访问流量语料库大数据进行词向量化处理,实现面向大数据XSS入侵智能检测研究。利用类图像处理方法进行数据获取、数据清洗、数据抽样、特征提取等数据预处理;设计基于神经网络的词向量化算法,实现词向量化得到词向量大数据;通过理论分析和推导,实现多种不同深度的深层神经网络智能检测算法;设计不同的超参数并进行反复的实验,分别得到最高识别率、最低识别率、识别率均值、方差、标准差、识别率变化曲线图和平均绝对误差变化曲线图等结果。实验结果表明,该方法具有识别率高、稳定性好、总体性能优良等特点。     

基于风险数据追踪的存储型XSS漏洞检测技术

为解决存储型XSS漏洞的自动化黑盒检测问题,提出基于风险数据追踪的存储型XSS漏洞检测方法。依此技术可以对Web应用程序上存在的存储型XSS漏洞进行快速、深入的自动化挖掘。简要介绍了为实现该技术而需编写的自动化辅助软件的设计与实现,并用实验证明了该检测技术的有效性。     

XSS蠕虫在社交网络中的传播分析

通过分析社交网络的特点,将节点分为活跃节点和非活跃节点。针对XSS蠕虫的传播,分析其传播受到的影响因素,建立数学模型。仿真结果表明,节点访问偏向度对XSS蠕虫传播影响较小,而XSS蠕虫采用社会工程学的熟练度及节点安全意识,对XSS蠕虫传播影响较大。活跃节点的安全意识较大程度影响了XSS蠕虫传播效率,将活跃节点作为防御点和监控点的防御策略切实可行。