共查询到20条相似文献,搜索用时 93 毫秒
1.
先简述了WEB攻击的种类,然后着重从攻击者角度,分别从Web程序代码、文件目录权限、系统漏洞、web验证漏洞、CGI参数、SQL注入、跨站点跟踪来浅析高校WEB站点的安全。 相似文献
2.
代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网(Generalized Stochastic Petri Net,GSPN)建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。 相似文献
3.
4.
江导 《网络安全技术与应用》2014,(2):100-101
WEB浏览器是一种常见的客户端应用程序,是用户与网络交互的最主要平台之一,WEB应用已经广泛应用到新闻资讯、电子商务、社交网络等多个领域,然而由于WEB应用程序功能性和交互性的不断增强,对应的WEB漏洞和恶意攻击层出不穷,现有的WEB安全措施主要集中于服务端,然而客户端的安全机制相对比较薄弱,因此,对于如何保证WEB应用的安全己成为安全界广泛关注的重点。本文主要研究浏览器端的WEB安全威胁检测技术与实现。 相似文献
5.
6.
WEB应用程序的安全维护 总被引:1,自引:0,他引:1
介绍了WEB应用程序的安全概念 ,论述了如何通过验证用户ID和控制对应用程序资源的访问来维护应用程序的安全 ,并从操作系统级、WEB服务器级、数据库级以及WEB应用程序级各个层次上阐述了维护微软ASP应用程序的安全技术。 相似文献
7.
APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究. 相似文献
8.
9.
10.
11.
在Android应用程序安装包的发布、下载过程中,往往很容易受到下载劫持攻击。受到常规下载劫持攻击的服务器往往能够通过流量分析发现攻击行为,但是,隐蔽下载劫持攻击则无法通过该方法进行发现。通过对真实案例的发现和分析,提出一种Android应用程序安装包隐蔽下载劫持漏洞。攻击者利用该漏洞在用户与服务器之间部署中间人设备,隐蔽下载劫持攻击,使受到劫持的服务器难以通过现有的分析方法发现该攻击行为。对该漏洞的产生原因、危害范围、利用机制等进行了分析,并试图从分布式检测、集中分析和主动预防方面提出解决方案。 相似文献
12.
Ajax(Asynchronous JavaScript And XML,异步JavaScfipt和XML)用于描述WEB应用程序风格和创建高度交互的WEB应用所需的一纽技术。运用AjaX技术,在XML,JSON中选择满足应用程序需求和功能、节省存储空间、易于生成和解析的数据格式成为WEB应用程序设计的关键。该文通过XML,JSON的介绍、实例运用及重要特征与环境支持区别的分析得出JSON是适用于Ajaxweb应用程序的理想数据交换格式的结论。 相似文献
13.
14.
探讨基于ASP的WEB应用程序在代码中可能存在的一些不安全因素,恶意用户利用这些漏洞的可能攻击方法及其应对措施。 相似文献
15.
16.
在IPv6环境下,对当今流行的一种网络攻击方式Phishing进行讨论和研究,从攻击的角度来分析攻击者的攻击意图和攻击手段。对现有的各种Phishing攻击进行分类,并对每种攻击进行详尽的分析,初步构建起相应的防御体系,提出了防范Phishing攻击的具体实现办法。 相似文献
17.
WEB应用程序广泛受到SQL注入攻击的威胁,SQL攻击易于实施且危害严重。分析了现有的各种防范技术,在此基础上提出了一种基于指令集随机化技术的SQL注入防范原型系统。该系统首先对SQL关键字经过特殊的随机化处理,然后与用户输入组装成完整的SQL语句,再使用随机化的SQL语法分析程序对语句是否存在注入进行判定。系统的实现不依赖于现有WEB应用程序和服务器平台。实验表明,此系统具有较好的防范SQL注入的效果和较低的运行开销。 相似文献
18.
针对最近提出的两个无证书代理签名方案及其改进方案,从密码学的角度对其安全性进行了研究,指出其存在相同的安全性缺陷,即攻击者能够实施公钥替换攻击,从而能伪造出有效签名,并分析了存在公钥替换攻击的正确性及原因.同时,也指出了另外一个缺陷即攻击者可以假冒原始签名人将任何消息的代理签名权委托给任何代理人.实验结果表明,该方案的设计并不满足数字签名方案所需的安全性要求.最后,给出了克服各种攻击的改进措施. 相似文献
19.
网站注入式攻击成为Web应用系统的严重安全隐患。通过该类型攻击,攻击者能非法获得对Web应用程序数据库无限制的访问权限,进而得到企业和网络用户的机密信息,如银行账号、交易数据等,给网络用户和企业造成了巨大损失。通过对注入式攻击途径、动机、流程及原理的分析,结合目前普遍采用的攻击测试方法,提出一些防范方法和措施。采用这些方法和措施可极大限度地减少网站注入攻击的可能性,保护数据库的安全。 相似文献
20.
探讨基于ASP的WEB应用程序在代码中可能存在的一些不安全因素,恶意用户利用这些漏洞的可能攻击方法及其应对措施。 相似文献