安全焦点:主动安全,厚积薄发

在被动基础上必然走向主动"为什么今天有这么多安全的隐患状况?"这是安全用户发出的最多最严峻的疑问。Web2.0所带来的双向交互,让网上行为带有更高的被攻击的风险,安全设备就不仅限于防火墙和防病毒。因此,Web2.0的网络环境从     

阿帕奇服务器的安全防范

Apache服务器走到那里,unix/linux就跟到那里,这足以说明在Web服务器领域Apache的优良性能与市场占有率。在今天互联网的大环境下,web服务已经成为公司企业必不可少的业务,大多数的安全问题也跟随而来,攻击重点也转移为web攻击,许多web与颇有价值的客户服务与电子商业活动结合在一起,这也是吸引恶意攻击重要原因。下面来了解下web所面临的安全风险     

组合Web服务劫持攻击的研究与实现

组合Web服务在给基于异构平台的应用集成带来极大便利的同时,其自身面临着各种恶意攻击的威胁.根据组合Web服务开放性、分布式的特点,提出了针对组合Web服务的服务劫持攻击方案,包括劫持洪泛攻击、服务假冒攻击和服务重放攻击.详细介绍了这些攻击方式的设计思想,模拟实验结果表明设计的攻击方案对组合Web服务产生了严重影响.论文的研究成果有助于设计针对组合Web服务的攻击检测方法.     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

联想网御入侵防护系统护航证券内外网安全

作为一种基于Web架构的应用,网上交易平台面临的风险主要包括拒绝服务攻击、缓冲区溢出攻击、Web应用攻击、SQL注入攻击及XSS跨站脚本攻击等。针对HTTP的拒绝服务攻击（如CC攻击等）,将严重影响Web站点的正常访问,     

浅谈Web应用防火墙

大部分的Web应用都存在安全漏洞从而遭受网络攻击,而传统的网络安全设备并不能有效防御这些攻击。本文从Web安全的角度出发介绍了Web应用防火墙,经测试,Web应用防火墙可以有效阻止各种恶意的Web攻击。     

转移BT下载中未完成的文件

近期公司Web服务器经常遭受攻击，造成不小的损失。春节将至，万一在放假期间Web服务器又受到攻击，就有可能导致其中的配置信息丢失．回来后我就得逐一手工设置恢复，非常麻烦。因此我决定放假前要做好Web服务器的备份工作，真正做到有“备”无患。     

基于Web行为轨迹的应用层DDoS攻击防御模型

为了有效防御应用层分布式拒绝服务攻击（DDoS）,定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型。把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。     

SQL注入攻击及其防御策略分析

随着互联网Web应用的飞速发展,黑客攻击的手段也在不断翻新,各种新的攻击技术层出不穷。SQL注入攻击是黑客对Web应用进行攻击的常用手段之一。以ASP和SQL Server为例详细阐述了SQL注入攻击的基本原理和过程,并从Web应用生命周期的各个环节出发,综合探讨防御SQL注入攻击的有效方法和策略。     

Web应用程序漏洞及安全研究

Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险,但有许多方法可以帮助减轻这一危险。本文研究了Web应用程序的漏洞,探讨了Web安全的现状及问题由来以及几种主要Web安全技术,提出了实现Web安全的几条措施。     

从黑客常用攻击手段看WEB应用防护

目前Web技术在客户和服务端的广泛利用,导致黑客们越来越侵向于使用各种攻击手法来针对Web应用城进行攻击,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。黑客们普遍使用Web进行攻击的做法是有原因的:     

巧用HOSTS搭建网络安全屏障

现在上网真是好辛苦．要不停地抵挡广告条，弹出窗口Cookies Web BUG网页封绑架者的攻击．一不留神就可能中招，所以我们以前曾经多次介绍了防范的方法，不过常常要你动用其他软件的力量．今天我们就来个空手入白刃，不用任何软件，完全借助系统本身的HOSTS文件来搭建网络安全屏障．     

“谨防”Web2．0

Web 2．0中的“你”,就像“横行的螃蟹”,攻击着在Web2．0之前就已经被创造出来的价值观、世界观、文化和科学。     

基于时间序列分析的Web服务器DDoS攻击检测

摘要: 分布式拒绝服务攻击(Distributed Denial of Service, DDoS)的目标是破坏网络服务的有效性,是当前Web服务安全的主要威胁之一。本文提出了一种基于时间序列分析的DDoS攻击检测方法。该方法利用网络流量的自相似性,建立Web流量时间序列变化的自回归模型,通过动态分析Web流量的突变来检测针对Web服务器的DDoS攻击。在此基础上,通过对报警数据的关联分析,获得攻击的时间和位置信息。实验结果表明：该方法能有效检测针对Web服务器的DDoS攻击。     

Web服务攻击技术研究综述*

Web服务在给基于异构平台的应用集成带来极大便利的同时,其自身各核心组件也面临着恶意攻击的威胁。详细分析了针对单个Web服务以及Web服务组合过程的各种常见攻击技术的原理、特点,探讨了相应的检测和防御措施,结合已有研究成果,讨论了Web服务攻击防护将来的研究方向以及面临的挑战。     

面向软件攻击面的Web应用安全评估模型研究

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。     

Web服务攻击技术研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,使越来越多的企业使用Web服务。Web服务技术在得到快速发展和应用的同时,它的安全问题越来越重要,成为黑客或者攻击者选择的目标,Web服务提供者对于保证Web服务安全要面临着严峻的考验。文中分析了Web服务攻击技术的特点、原理,讨论了用于攻击基于XML的Web服务的各种技术和目前比较流行的防御措施。进一步讨论了Web服务攻击将来的研究方向以及面临的挑战。     

Web服务防火墙的设计与实现

为弥补传统防火墙对Web服务防护能力的不足,设计了Web务防火墙-ws-Firewall,其主要功能是Web 服务攻击检测拦截和提供Web服务的访问控制机制.通过应用XML模式匹配方法,提高了Web服务攻击检测的能力,实现了基于属性的访问控制机制,更适合Web服务的跨域应用场合.     

跨站脚本攻击及防范技术研究

跨站脚本攻击是当前Web安全领域常用攻击手段。该文介绍了跨站脚本攻击的基本概念,揭示了跨站脚本漏洞的严重性,分析跨站脚本漏洞的触发机制,论述了两种常见跨站脚本攻击模式,展示了几种跨站脚本攻击效果。最后,分别从Web应用程序编写和客户端用户两个层次,对跨站脚本攻击的防范措施进行了阐述。     

利用验证密码拒绝非法访问

您考虑过您Web程序可能会遭人恶意攻击吗?您的Web程序对于这些攻击做好足够的防范措施了吗?