从攻击者角度浅析高校Web站点的安全

先简述了WEB攻击的种类,然后着重从攻击者角度,分别从Web程序代码、文件目录权限、系统漏洞、web验证漏洞、CGI参数、SQL注入、跨站点跟踪来浅析高校WEB站点的安全。     

基于指令集随机化的抗代码注入攻击方法

代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网（Generalized Stochastic Petri Net,GSPN）建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。     

评估WEB站点安全的四个关键因素

如今,针对WEB应用的安全威胁越来越多。这些安全威胁有些是利用WEB站点所在的服务器系统漏洞。有些是利用WEB应用程序本身的漏洞。有些是利用数据库的漏洞来进行攻击的。因此,使用一些方法和工具,对整个WEB站点进行详细的安全评估．找出目前WEB服务器系统、WEB应用程序及数据库中存在的弱点。才有可能将安全威胁抹杀在最初状态。     

浏览器WEB安全威胁检测技术研究与实现

WEB浏览器是一种常见的客户端应用程序,是用户与网络交互的最主要平台之一,WEB应用已经广泛应用到新闻资讯、电子商务、社交网络等多个领域,然而由于WEB应用程序功能性和交互性的不断增强,对应的WEB漏洞和恶意攻击层出不穷,现有的WEB安全措施主要集中于服务端,然而客户端的安全机制相对比较薄弱,因此,对于如何保证WEB应用的安全己成为安全界广泛关注的重点。本文主要研究浏览器端的WEB安全威胁检测技术与实现。     

建立高性能扩展的WEB应用系统

本文通过对WEB系统结构的分析,比较了常用的WEB应用程序服务器的性能。然后,从扩展和缓存的角度提出了解决WEB系统瓶颈的方案。     

WEB应用程序的安全维护

介绍了WEB应用程序的安全概念 ,论述了如何通过验证用户ID和控制对应用程序资源的访问来维护应用程序的安全 ,并从操作系统级、WEB服务器级、数据库级以及WEB应用程序级各个层次上阐述了维护微软ASP应用程序的安全技术。     

浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

从攻击者角度谈网站安全

从网站攻击者的角度入手,分析网站攻击,了解攻击技术的原理,从而研究应对方式,做到知己知彼,更加深入地做好网站安全.     

认证协议漏洞自动检测系统设计与实现

从攻击者的角度出发,总结系统攻击的2个特性,设计一个协议漏洞自动检测系统。通过目标查找算法、可利用资源查找算法及协议漏洞查找算法,找到多种攻击认证协议的途径,由此发现协议存在的漏洞。对Needham-Schroeder、Neuman-Stubblebine和Otway-Rees协议的测试结果表明,该系统可正确检测协议漏洞,模拟攻击方式。     

突破防护措施的shellcode技术研究*

缓冲区溢出漏洞是软件系统中存在的最普遍的安全漏洞之一.各种防护措施大大增加了缓冲区溢出攻击利用的难度,但是它们没有从根本上解决问题,攻击者利用各种手段仍可使攻击成功.从攻击者的角度出发,总结了近年来缓冲区溢出漏洞攻击利用技术发展的情况,主要对溢出后突破防护措施的shellcode技术进行了详细介绍和分析.     

基于Android应用程序安装包隐蔽下载劫持漏洞

在Android应用程序安装包的发布、下载过程中,往往很容易受到下载劫持攻击。受到常规下载劫持攻击的服务器往往能够通过流量分析发现攻击行为,但是,隐蔽下载劫持攻击则无法通过该方法进行发现。通过对真实案例的发现和分析,提出一种Android应用程序安装包隐蔽下载劫持漏洞。攻击者利用该漏洞在用户与服务器之间部署中间人设备,隐蔽下载劫持攻击,使受到劫持的服务器难以通过现有的分析方法发现该攻击行为。对该漏洞的产生原因、危害范围、利用机制等进行了分析,并试图从分布式检测、集中分析和主动预防方面提出解决方案。     

Ajax技术结合XML或JSON的使用比较

Ajax（Asynchronous JavaScript And XML,异步JavaScfipt和XML）用于描述WEB应用程序风格和创建高度交互的WEB应用所需的一纽技术。运用AjaX技术,在XML,JSON中选择满足应用程序需求和功能、节省存储空间、易于生成和解析的数据格式成为WEB应用程序设计的关键。该文通过XML,JSON的介绍、实例运用及重要特征与环境支持区别的分析得出JSON是适用于Ajaxweb应用程序的理想数据交换格式的结论。     

网络应用程序防护

大多数的网络应用程序都很容易遭到攻击。最近发生在CDUni-verse和Egghead.com的被入侵事件只不过是不断增多的黑客事件中的冰山一角。保障网站安全的最重要武器是对安全问题的正视以及随时保持警惕。当攻击者观察你的网络应用程序时,他们一般     

有关ASP编程安全性的一些探讨

探讨基于ASP的WEB应用程序在代码中可能存在的一些不安全因素,恶意用户利用这些漏洞的可能攻击方法及其应对措施。     

攻击技术分类研究

以系统化构建一个为入侵检测与防御提供知识基础的攻击知识库为目标,从攻击者角度出发对攻击技术进行了分类研究,提出了一种符合分类标准的攻击技术分类层次结构,并概述了每种不同的攻击技术。     

IPv6环境下仿冒攻击的安全防范研究与实现

在IPv6环境下,对当今流行的一种网络攻击方式Phishing进行讨论和研究,从攻击的角度来分析攻击者的攻击意图和攻击手段。对现有的各种Phishing攻击进行分类,并对每种攻击进行详尽的分析,初步构建起相应的防御体系,提出了防范Phishing攻击的具体实现办法。     

基于指令集随机化的SQL注入防御技术研究

WEB应用程序广泛受到SQL注入攻击的威胁,SQL攻击易于实施且危害严重。分析了现有的各种防范技术,在此基础上提出了一种基于指令集随机化技术的SQL注入防范原型系统。该系统首先对SQL关键字经过特殊的随机化处理,然后与用户输入组装成完整的SQL语句,再使用随机化的SQL语法分析程序对语句是否存在注入进行判定。系统的实现不依赖于现有WEB应用程序和服务器平台。实验表明,此系统具有较好的防范SQL注入的效果和较低的运行开销。     

两个无证书代理签名方案的密码学分析

针对最近提出的两个无证书代理签名方案及其改进方案,从密码学的角度对其安全性进行了研究,指出其存在相同的安全性缺陷,即攻击者能够实施公钥替换攻击,从而能伪造出有效签名,并分析了存在公钥替换攻击的正确性及原因.同时,也指出了另外一个缺陷即攻击者可以假冒原始签名人将任何消息的代理签名权委托给任何代理人.实验结果表明,该方案的设计并不满足数字签名方案所需的安全性要求.最后,给出了克服各种攻击的改进措施.     

网站注入式攻击的原理与防范

网站注入式攻击成为Web应用系统的严重安全隐患。通过该类型攻击,攻击者能非法获得对Web应用程序数据库无限制的访问权限,进而得到企业和网络用户的机密信息,如银行账号、交易数据等,给网络用户和企业造成了巨大损失。通过对注入式攻击途径、动机、流程及原理的分析,结合目前普遍采用的攻击测试方法,提出一些防范方法和措施。采用这些方法和措施可极大限度地减少网站注入攻击的可能性,保护数据库的安全。     

有关ASP编程安全性的一些探讨

探讨基于ASP的WEB应用程序在代码中可能存在的一些不安全因素，恶意用户利用这些漏洞的可能攻击方法及其应对措施。