基于用户行为模拟的XSS漏洞检测

为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找到多种非格式化注入点,并通过综合考虑字符串长度、字符种类等因素对攻击向量进行了优化,以绕过服务器的过滤函数,缩短漏洞测试所用的时间.测试结果表明所提方法提高了漏洞注入点的检测覆盖率,提升了XSS漏洞的检测效果.     

基于特征策略的XSS漏洞检测技术研究

Web漏洞日渐成为网络安全的一个重要隐患,尤其是.近年来较为流行的XSS跨站脚本漏洞,其危害性及快速的传播能力都越来越严重.针对Web和程序的诸多漏洞过滤不严的现状,提出了基于特征匹配的XSS漏洞检测.实验证明该方法能够有效地减少检测漏报率和误报率,在实际应用中也取得了很好的效果.     

跨站脚本攻击与防范研究

目前网站的安全问题日益突出,详细地介绍了XSS攻击的漏洞类型,并对每种漏洞攻击进行了实例分析,通过对真实的入侵实例进行分析,总结了XSS攻击防范的方法,为XSS攻击防范提供了一些参考,减少了网站被XSS攻击的可能性。     

基于XSS框架机制的Web应用程序语境安全性研究

分析了XSS过滤抽象框架提供的安全性和应用程序语境相关性，也分析了Web浏览器的新模式、特点及XSS语境过滤.优化了Web框架模型，Web浏览器详细描述内部组织的模式来解释XSS清除的方法及其内部结构的相互作用.研究了服务器端执行的威胁过滤通过浏览器的内容解析到DOM过程而被有效地撤消的XSS漏洞.提出了非信任性数据需要以不同的方式根据其语境在HTML文档中被过滤，自动清除可以安全地在一个语境中使用的威胁清除功能而在另一个语境中使用是不安全的，自动过滤必须与语境相关的.     

XSS攻击与防范研究

本文主要分析跨站脚本攻击漏洞存在形式和攻击产成流程,并总结出XSS攻击的防范方法。     

WEB应用漏洞攻击及其防护

作为一种大众平台,WEB越来越多地承载了某学院各个部门的核心业务,也成为网络主要的攻击对象,使得网页浏览中面临各种威胁.WEB应用攻击是攻击者通过浏览器或攻击工具,在网页地址或其他输入区域(比如表单等),向WEB服务器发送特殊请求,从中发现WEB应用程序的可能漏洞,从而进一步操纵网站,查看、修改未授权的信息.本论述针对WEB应用漏洞攻击方面常见的脚本漏洞攻击XSS漏洞和SQL注入漏洞,通过分析两种漏洞的攻击方式和危害,尝试提出一整套应对WEB应用漏洞攻击的相应防范方案,以保证WEB应用中业务数据的安全性和保密性,提高网络系统的运行安全.     

面向Web应用的漏洞扫描器的设计与实现

本文采用渗透测试技术,设计并实现一个Web应用扫描器。扫描器通过爬虫获取结果,然后调用插件检测常见漏洞,能够进行目录文件爆破、CMS识别、端口扫描、爬虫、SQL注入检测、XSS漏洞检测等扫描,最终通过输出扫描报告达到一次完整的网站扫描。     

基于ASP的教学网站安全防范策略

基于ASP＋Access动态网页技术是教学网站建设常用的模式。文章探讨了此类教学网站中存在的登陆验证漏洞、跨站脚本漏洞、SQL注入漏洞、数据库安全漏洞等常见安全隐患的产生原因及其危害,并提出了相应的防范策略。     

一种Web输入验证的鱼骨刺测试模型

文章在分析Web缓冲区溢出、跨站点脚本编写(XSS)、SQL 注入和规范化等4种输入攻击原理的基础上,提出一种输入验证的鱼骨刺测试模型.该模型根据每种攻击方式分门别类地设计测试方法和相应的测试用例,对Web各个交互文本框输入的数据进行全方位测试.同现有的方法相比,该模型对Web的测试更加全面,能有效防止多种Web攻击.     

SQL Server数据库系统安全性应用研究

数据库作为管理系统、Web网站的信息载体,其安全性极为重要.一旦数据库遭到破坏,整个系统都将面临崩溃.从SQL Server2000数据库管理系统自身提供的安全机制出发,对在设计与开发Web网站中所遇到的操作数据库的安全性问题进行探讨,提出了通过ASP代码实现安全性控制的方法,并对SQL注入漏洞给出具体的防范措施,这些方法和措施可用于网站设计中对SQL Serve数据库进行安全访问控制.     

基于结构化文本及代码度量的漏洞检测方法

目前的源代码漏洞检测方法大多仅依靠单一特征进行检测,表征的维度单一导致方法效率低.针对上述问题提出一种基于结构化文本及代码度量的漏洞检测方法,在函数级粒度进行漏洞检测.利用源代码结构化文本信息及代码度量结果作为特征,通过构造基于自注意力机制的神经网络捕获结构化文本信息中的长期依赖关系,以拟合结构化文本和漏洞存在之间的联系并转化为漏洞存在的概率.采用深度神经网络对代码度量的结果进行特征学习以拟合代码度量值与漏洞存在的关系,并将其拟合的结果转化为漏洞存在的概率.采用支持向量机对由上述两种表征方式获得的漏洞存在概率做进一步的决策分类并获得漏洞检测的最终结果.为验证该方法的漏洞检测性能,针对存在不同类型漏洞的11种源代码样本进行漏洞检测实验,该方法对每种漏洞的平均检测准确率为97.96%,与现有基于单一表征的漏洞检测方法相比,该方法的检测准确率提高了4.89%~12.21%,同时,该方法的漏报率和误报率均保持在10%以内.     

基于深度学习的智能合约漏洞检测方法

以太坊是当下最流行的区块链平台之一,目前已部署数千万个智能合约,控制了价值数千亿美元的以太坊加密货币。由智能合约漏洞引起的安全事件层出不穷,资金损失尤为严重。针对当前智能合约漏洞检测率较低、检测性能不足的问题,提出了基于深度学习的智能合约漏洞检测方法。编译以太坊智能合约源码,解析其对应的字节码得到操作码数据流,根据以太坊黄皮书中操作码与16进制数的对应关系构建字典,将操作码数据流转化为用16进制数表示的操作码序列。通过对操作码序列进行分析,设计循环神经网络、长短期记忆神经网络和卷积神经网络-长短期记忆神经网络3种不同的深度学习网络结构进行漏洞检测。在真实环境中采集了47 527个智能合约,针对智能合约6种漏洞的检测,卷积神经网络-长短期记忆神经网络模型的Macro-F1达到了82.1%。大量的实验结果表明,所提出的模型和方法可实现高效的智能合约漏洞检测。     

电力信息物理融合系统结构脆弱性分析

为了识别电力信息物理融合系统(Cyber Physical Power System,CPPS)脆弱性并制定相应脆弱性防控策略,从结构的角度,建立电力网为IEEE118节点系统、双星型信息网和网型信息网2种具有不同子网络结构的CPPS相依网络模型.提出一种相依节点对重要度综合指标,该指标可以辨识对CPPS结构脆弱性产生重大影响的相依节点对,克服单层网络指标的局限性.基于相依网络连锁故障模型,分别采用随机攻击策略和蓄意攻击策略,分析2种CPPS的结构脆弱性,并研究关键节点保护策略对2种CPPS结构脆弱性的影响.仿真结果表明,随机攻击策略下,网型信息网CPPS的结构比双星型信息网CPPS更加脆弱.蓄意攻击策略下,优先攻击相依节点对对网络连通性的破坏程度更大.合理选取关键节点保护策略的保护节点可以改善系统的结构脆弱性.     

模型检验技术在软件漏洞自动挖掘中的应用

将在工业设计领域应用很成功的模型检验技术引入到信息技术软件产品的安全漏洞挖掘中,提出了针对源码的漏洞挖掘系统原型,以开放源代码的操作系统Linux为例,建立了特权释放和文件创建的安全属性模型,并举例加以验证.研究结果表明:该方法是一种自动化挖掘软件安全漏洞并证明漏洞存在性的形式化方法,对挖掘已经确认机理类型的漏洞非常有效.     

基于漏洞知识库的8031单片机系统软件漏洞检测算法

针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。      

基于深度学习的智能合约漏洞检测方法综述

智能合约是区块链三大特点之一,也是区块链具有应用价值和灵活性的领域.本质上,智能合约是一段用特定脚本语言实现的代码,不可避免地存在安全漏洞风险.如何及时准确地检查出各种智能合约的漏洞,就成为区块链安全研究的重点和热点.为了检测智能合约漏洞,研究者提出了各种分析方法,包括符号执行、形式化验证和模糊测试等.随着人工智能技术的快速发展,越来越多基于深度学习的方法被提出,并且在多个研究领域取得了很好的效果.目前,针对基于深度学习的智能合约漏洞检测方法并没有被详细地调查和分析.本文首先简要介绍了智能合约的概念以及智能合约漏洞相关的安全事件;然后对基于深度学习的方法中常用的智能合约特征进行分析;同时对智能合约漏洞检测中常用的深度学习模型进行描述.此外,为了进一步推动基于深度学习的智能合约漏洞检测方法的研究,本文将近年来基于深度学习的智能合约漏洞检测方法根据其特征提取形式进行了总结分类,从文本处理、静态分析和图像处理3个角度进行了分析介绍;最后,总结了该领域面临的挑战和未来的研究方向.     

基于符号执行的格式化字符串漏洞自动验证方法研究

格式化字符串漏洞是一种常见的危害较大的软件漏洞.现有格式化字符串漏洞自动验证系统未充分考虑参数存储位置位于栈以外空间的情况,造成对该部分漏洞可利用性的误判.针对该问题,论文设计实现了一种基于符号执行的格式化字符串漏洞自动验证方法,首先根据参数符号信息检测当前格式化字符串函数漏洞,然后分别构建参数存储于不同内存空间情况下的漏洞验证符号约束,最后利用约束求解自动得到漏洞验证代码,实现了格式化字符串漏洞的自动验证.在Linux系统下对不同类型测试程序进行了实验,验证了方法的有效性.     

参考安全补丁比对的软件安全漏洞挖掘方法

Windows操作系统作为目前全球使用最广泛的桌面操作系统,一旦其漏洞被利用将造成严重后果,所以对Windows操作系统的漏洞发掘意义重大。当前对软件安全漏洞的发现更多的是依靠安全研究人员的经验和运气,缺乏系统且有效的方法指导。为了找到一种能够快速发现Windows一类漏洞的方法,本文从安全补丁的修补方法入手,分析了漏...