基于反过滤规则集和自动爬虫的XSS漏洞深度挖掘技术

为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的注入入口,以实现对Web跨站漏洞深度挖掘.提出的XSS漏洞挖掘技术在邮箱XSS漏洞挖掘及Web网站XSS漏洞检测方面的实际应用验证了该技术的有效性.     

基于渗透测试的网络安全漏洞实时侦测技术研究

传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。     

基于渗透测试的网络安全漏洞实时侦测技术

传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。     

WEB应用漏洞攻击及其防护

作为一种大众平台,WEB越来越多地承载了某学院各个部门的核心业务,也成为网络主要的攻击对象,使得网页浏览中面临各种威胁.WEB应用攻击是攻击者通过浏览器或攻击工具,在网页地址或其他输入区域(比如表单等),向WEB服务器发送特殊请求,从中发现WEB应用程序的可能漏洞,从而进一步操纵网站,查看、修改未授权的信息.本论述针对WEB应用漏洞攻击方面常见的脚本漏洞攻击XSS漏洞和SQL注入漏洞,通过分析两种漏洞的攻击方式和危害,尝试提出一整套应对WEB应用漏洞攻击的相应防范方案,以保证WEB应用中业务数据的安全性和保密性,提高网络系统的运行安全.     

跨站脚本攻击与防范研究

目前网站的安全问题日益突出,详细地介绍了XSS攻击的漏洞类型,并对每种漏洞攻击进行了实例分析,通过对真实的入侵实例进行分析,总结了XSS攻击防范的方法,为XSS攻击防范提供了一些参考,减少了网站被XSS攻击的可能性。     

网络环境中XSS漏洞攻击与防御研究

本文针对Web应用程序下的XSS漏洞攻击进行分析,以XSS攻击概念为切入点,对其漏洞分类、攻击形式进行分析,通过详细的理论论述谭涛涛出有效防御措施。     

基于贝叶斯网络的XSS攻击检测方法

跨站脚本(XSS)攻击是最严重的网络攻击之一.传统的XSS检测方法主要从漏洞本身入手,多依赖于静态分析和动态分析,在多样化的攻击载荷(payload)面前显得力不从心.为此提出一种基于贝叶斯网络的XSS攻击检测方法,通过领域知识获取该网络中的节点.利用领域知识构建的本体为贝叶斯网络的构建提供良好的特征选择基础,并从中提取了17个特征,同时从公开渠道搜集的恶意IP和恶意域名为该模型及时检测新型攻击补充有力规则.为验证所提方法的有效性,在实际收集的XSS攻击数据集上进行实验,结果表明,在面对多样化的攻击时,该方法可以保持90%以上的检测准确率.     

一种Web输入验证的鱼骨刺测试模型

文章在分析Web缓冲区溢出、跨站点脚本编写(XSS)、SQL 注入和规范化等4种输入攻击原理的基础上,提出一种输入验证的鱼骨刺测试模型.该模型根据每种攻击方式分门别类地设计测试方法和相应的测试用例,对Web各个交互文本框输入的数据进行全方位测试.同现有的方法相比,该模型对Web的测试更加全面,能有效防止多种Web攻击.     

面向Web应用的漏洞扫描器的设计与实现

本文采用渗透测试技术,设计并实现一个Web应用扫描器。扫描器通过爬虫获取结果,然后调用插件检测常见漏洞,能够进行目录文件爆破、CMS识别、端口扫描、爬虫、SQL注入检测、XSS漏洞检测等扫描,最终通过输出扫描报告达到一次完整的网站扫描。     

XSS攻击与防范研究

本文主要分析跨站脚本攻击漏洞存在形式和攻击产成流程,并总结出XSS攻击的防范方法。     

SQL注入攻击与防范实验的设计与实现

介绍了SQL注入的原理、攻击和防范技术,并通过设计具体实验方案演示了SQL注入攻击与防范的全过程及细节。通过搭建存在SQL注入漏洞的Web网站并对其进行SQL注入攻击,观察被攻击的效果,进行漏洞修复。对漏洞修复后的系统进行攻击,并对比修复漏洞前后的现象,以此得出SQL注入漏洞的原理、产生原因、对应攻击原理及如何防范漏洞,加深对SQL注入的理解。     

基于符号执行的注入类安全漏洞的分析技术

用符号值作为输入, 模拟程序执行, 提取执行路径上相应的约束条件, 即安全约束、攻击约束以及防御约束, 并构成可满足矩阵(SAT)以及不可满足矩阵(UNSAT)两个注入类漏洞安全分析与检测模型, 矩阵模型的求解结果可映射为注入类安全漏洞的安全状态。对Web应用注入类漏洞的检测实验表明, 与目前安全分析主流工具相比, 该分析技术具有降低误报率、漏报率、能自动生成攻击向量等优点。     

面向RTF文件的Word漏洞分析

针对Word软件在富文本格式(RTF)文档解析的漏洞利用攻击,通过对Word程序的逆向分析,研究其在RTF文档解析中产生缓冲区溢出漏洞的原理,并提出一种基于指令回溯及特征数据构造的漏洞分析方法.通过该方法分析Word漏洞的触发原因、触发点和触发机制,给出了面向RTF文档的缓冲区溢出漏洞的分析流程.实验测试结果证明:该方法能有效检测出Word的RTF文档解析漏洞.     

基于深度网络模型的网络XSS攻击入侵检测方法

XSS网络攻击是一种在Web应用程序中普遍存在的漏洞,具有较大的危害性.为了提高XSS入侵检测的准确率和效率,提出了一种基于改进Resnet模型的XSS攻击入侵模型.该模型在Resnet的基础上加入了新的池化方法,使得整个网络具有了更好的特征表示能力,从而能更好地对网络攻击进行检测.为了验证所提出的方法的优越性,将其与经典的方法 XSS-Filter以及Resnet模型进行比较,结果表明本文所提出的方法具有较高的准确率和召回率,具有较大的优越性.     

选课管理系统的安全分析与防范研究

为了建设信息化校园,开发了一种公共选修课选课管理系统．该系统基于B／S三层结构和．NET技术开发．不仅能满足目前全院师生的选课和管理需求,还能针对穷举攻击、SQL注入攻击、XSS跨站攻击和文件上传攻击等常见的Web攻击进行防御和容忍,通过了多次公开测试,在2013年6月进行的全院师生网络选课的考验中表现良好．本文着重研究该系统的安全问题．实践证明,该系统基本性能良好,安全性较好．     

分布式漏洞检测系统的设计与实现

针对目前主流的漏洞检测工具检测时间长、误报率高以及使用攻击代码影响系统运行等缺点,提出了一种基于OVAL的分布式漏洞检测系统,采用基于主机的漏洞检测方法发现系统存在的安全漏洞.该系统由检测代理和中心管理子系统组成,其中检测代理执行检测插件对目标主机系统进行漏洞检测,而中心管理子系统提供安全知识定义和检测算法.经实验测试,与其他漏洞检测工具相比,具有检测速度快、精度高、对网络运行状况影响小和可扩展性强的优点.适用于检测大规模局域网中各主机系统的漏洞状况.     

基于符号执行的Unlink攻击检测方法

Unlink攻击是一种Linux平台下面向堆溢出漏洞的攻击方式.已有的缓冲区溢出漏洞攻击检测技术通过检查程序控制流状态来确定程序漏洞触发点,并生成测试用例.但由于堆溢出数据很少直接导致程序控制流劫持以及相关保护机制的限制,已有的检测技术很难判断程序是否满足堆溢出攻击条件.为了提高程序的安全性,实现对Unlink攻击的检测,文中通过对已有Unlink攻击实例的分析,总结了Unlink攻击特征,建立了Unlink攻击检测模型,并根据该模型提出了Unlink攻击检测方法.该方法使用污点分析实现了对程序输入数据以及敏感操作的监控;使用符号执行技术构建程序污点变量传播的路径约束以及触发Unlink攻击的数据约束;通过对上述约束的求解,判断程序堆溢出漏洞是否满足Unlink攻击触发条件,并生成测试用例.实验结果表明,该方法能有效地实现针对Unlink攻击的检测.     

动静结合的二阶SQL注入漏洞检测技术

为了有效检测应用中的二阶结构化查询语言(SQL)注入漏洞,提出一种动静结合的检测方法.通过静态分析获取持久存储信息,解决动态分析无法处理的Web应用多阶段间逻辑联系问题.通过动态分析获取元数据,解决静态分析无法定位污点信息持久存储位置的问题.通过模糊测试验证疑似漏洞,降低误报率.实验结果表明:该检测方法能够有效检测应用程序中存在的二阶SQL注入漏洞;相比于传统静态分析,检测精度高、误报率低;相比于传统动态分析,实现对多阶漏洞的检测,优于已有二阶SQL注入漏洞检测技术.     

ASP网站网页挂马的危害分析及防范对策研究

ASP是一种开发简单、功能强大的动态Web技术,通过Windows系统IIS提供WEB服务,许多政府、事业单位的网站都使用该语言进行开发.由于ASP自身及IIS存在安全隐患,网页挂马就是利用其漏洞进行攻击.网页挂马不仅对网站的安全运行造成威胁,而且对于用户来说,有可能造成个人信息泄露、各种账户及密码被窃取等严重影响.本文就网页挂马的运行原理、危害进行了详细地论述,并结合实践提出网页挂马的检测方法及预防对策.     

基于特征策略的XSS漏洞检测技术研究

Web漏洞日渐成为网络安全的一个重要隐患,尤其是.近年来较为流行的XSS跨站脚本漏洞,其危害性及快速的传播能力都越来越严重.针对Web和程序的诸多漏洞过滤不严的现状,提出了基于特征匹配的XSS漏洞检测.实验证明该方法能够有效地减少检测漏报率和误报率,在实际应用中也取得了很好的效果.