共查询到17条相似文献,搜索用时 93 毫秒
1.
Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的防御措施和方法,对提高Web安全具有重要的参考价值。 相似文献
2.
分析了当前Web应用所面临的安全性问题以及重要性,同时分析了Web应用安全特性,给出了十大安全风险的描述并针对每一个安全风险给出了切实有效的防范措施与解决方案,包括注入式攻击、跨站点脚本攻击、错误的认证和会话管理、不安全的直接对象引用、跨站点伪造请求、不安全的配置管理、不安全的密码存储器、无法限制URL访问、薄弱的传输层保护、未验证的网址重定向.针对当前的各种Web应用安全的问题,给出了常见的安全技术及其描述. 相似文献
3.
为提升面向Web应用的跨站脚本(XSS)漏洞检测方法的检测效果,提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方案。通过使用决策树模型对攻击向量进行分类,并使用代码混淆策略对攻击向量进行变形,用生成变形后的攻击向量组成攻击向量库用于XSS漏洞的渗透测试。测试前,使用探子算法去除一部分不存在XSS漏洞的页面,以减少测试阶段与Web服务器的交互次数。此外,还对获取的注入点进行了去重处理,以避免重复检测不同Web页面中相同的注入点,进一步采用XPath路径定位技术提高漏洞检测中结果分析的效率。实验结果表明,该方法能够有效改善XSS漏洞的检测效率。 相似文献
4.
针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展。介绍了Web应用常见的注入式安全漏洞的分类,总结了这类漏洞的成因,梳理了安全漏洞检测的复杂性;阐述了注入式安全漏洞检测的关键技术,包括漏洞注入点的分析和识别、符号执行和污点分析以及基于软件分析和测试模型的漏洞检测方法;最后给出了研究展望。 相似文献
5.
为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。 相似文献
7.
针对Web遭受跨站脚本攻击越来越严重的问题,设计了一个基于代理的客户端系统模型,并在网络中心实验室进行了实现,通过对实验结果的分析可知,该系统可以很好地自动检测映射XSS攻击和存储XSS攻击,并对这些攻击进行漏洞收集. 相似文献
8.
基于自然语言处理的跨站脚本性能分析 徐孟达,李鲁群 (上海师范大学信息与机电工程学院,上海 200234) 创新点说明: 恶意跨站脚本导致的用户信息泄露是非常严重的。本文使用URL属性分析和YARA规则来处理跨站点脚本编写的数据。 研究目的: 利用机器学习及深度学习等方法,采集恶意攻击脚本数据并分析跨站脚本语句,实现恶意跨站脚本分类,做到预防 XSS 攻击,对于网络攻击防御有一定的现实意义。 研究方法: 1、从自然语言处理的角度对 XSS 脚本进行分析、建模,用深度学习方法研究 XSS 识别规则和分类模式,并验证分类效果 2、提出基于 URL 属性的分析和基于 YARA 规则的分析方法,根据收集到的数据的文本特征,使用定义的数据预处理流程对恶意跨站脚本数据进行预处理。通过恶意脚本代码注入检测的策略和绕过检测的策略,分析得出其文本特征。 研究结果: 1、LSTM模型在100轮左右的实验中,准确率达到98%,召回率达到96%。在相同条件下,它比MLP模型和CNN模型的速度快约2倍。 2、机器学习的决策树方法在模型训练上比神经网络模型训练花费的时间少。但神经网络模型的准确率普遍高于机器学习决策树算法。 3、机器学习的决策树方法在模型训练上比神经网络模型训练花费的时间少。但决策树方法不能反映损失值。 4、本文的LSTM方法准确率较低,但loss值较低,recall rate和F1得分最高。此外,召回率和F1评分可以反映模型识别恶意脚本的能力,可以证明本文采用的方法具有良好的效果。 5决策树的机器学习方法相结合的研究,表明决策树处理大样本的能力较弱,和树结构形成时,数据量太大不适合数据集的计算。因此,深度学习可以训练大数据样本,获得更准确的结果。 结论: 本文通过属性分析和YARA规则分类来分析跨站点脚本。本文从自然语言处理的角度分析跨站点脚本。此外,将单词编码集的计算添加到LSTM神经网络模型中,对实验数据进行分类,取得了良好效果,有利于一定程度上提高网络数据通信安全。 文中编写的YARA规则并不全面。针对收集到的数据,有必要在后续的研究中对恶意脚本语句的攻击形式进行总结和细化,不断优化语句处理逻辑,进而提高脚本检测能力。 关键词:跨站点脚本;网络通信;网络安全;自然语言处理 相似文献
9.
针对Web应用安全评估问题,提出一种基于熵权和模糊综合评价方法的Web应用安全评估模型.该模型将熵权与模糊理论相结合,利用熵权系数法确定Web应用安全评价因素集中的权重向量,采用最大隶属度原则确定安全漏洞风险等级.实例分析结果表明该方法简单、实用,能有效进行Web应用安全漏洞风险等级的评估. 相似文献
10.
针对Web系统登录安全与资源分配等问题,使用变异测试、访问控制等技术构造测试脚本模型,建立相对通用的测试脚本模板.数据驱动与待测系统登录接口实现了关联,对变异后的模板脚本进行了调试.利用湖北软件测试公共服务平台的测试工具构造了自动化测试实例,建立了多用例访问请求,并且执行了测试.最后,对一些实际的Web系统进行测试.结果表明,该模型能够检测Web用户登录安全与访问控制资源分配等错误,为Web用户登录安全提供了一种技术的检测手段. 相似文献
11.
数据库作为管理系统、Web网站的信息载体,其安全性极为重要。一旦数据库遭到破坏,整个系统都将面临崩溃。从SQL Server2000数据库管理系统自身提供的安全机制出发,对在设计与开发Web网站中所遇到的操作数据库的安全性问题进行探讨,提出了通过ASP代码实现安全性控制的方法,并对SQL注入漏洞给出具体的防范措施,这些方法和措施可用于网站设计中对SQL Serve数据库进行安全访问控制。 相似文献
12.
在公开密钥基础设施(PKI Public key infrastructure)基础上分析了PKI的脆弱性和不足,从应用角度针对这些缺陷和不足提出了对策和建议,并且结合实践提出了一个基于PKI的综合信息安全体系结构. 相似文献
13.
文章在分析了校园web信息系统安全现状、Web应用安全威胁产生的原因等基础上,提出了Web信息系统的安全防护策略,重点阐述了Web应用防火墙和IPS入侵保护系统在Web信息应用系统中的应用。实际使用表明,Web应用防火墙的使用,有效地解决了Web服务器群在网络运行中的安全性问题,阻断了黑客绕过网络层的防护,对Web应用系统的恶意攻击和篡改。 相似文献
14.
随着计算机技术的快速发展和计算机网络技术在日常工作、生活领域的广泛应用,计算机网络的安全问题显得:允其重要。本文从计算机网络的开放性、操作系统的安全性、数据库的安全性和防火墙的脆弱性等方面深入分析存在的安全问题,并从技术层面、管理层面和物理层面给出相应的安全防范措施。 相似文献
15.
在Borland应用服务器的基础上,使用JAAS与J2EE Web容器内在的安全机制,并借助Oracle数据库的用户验证,实现了Web应用中对用户的验证和授权。把用户能访问到的资源控制到页面级,将开发阶段需要考虑的安全问题转移到部署阶段,实现了应用逻辑与安全逻辑的彻底分离。实践表明,使用JAAS可以提高整个系统的开发效率,而Web容器提供的验证与授权可以很好地和数据库安全域相结合。 相似文献
16.
重点研究了基于ASP.NET的Web应用程序的安全问题。分析了ASP.NET的安全架构,从应用角度,给出了保证Web应用程序安全的4个层次:身份验证、授权、机密性和数据完整性。详细论述在Web应用程序开发中如何实现Windows验证、表单验证、URL授权和数据加密。 相似文献
17.
在当前的网络环境下,“Web体系”成为网络上最常见和实用的网络应用系统.针对“Web服务系统”的攻击也层出不穷,传统的网络安全系统(防火墙+入侵防御系统)难以应对.文章从网络安全的角度,分析了现有“Web系统”的安全问题,以及现有“Web系统”在应对网络攻击行为时的不足.针对“Web系统”受攻击时会在服务器上进行“写”操作的特点,在网络上对Web服务器上的“写”行为的数据流进行安全监测和管理,来保证Web应用系统的安全.探讨了一种新的网络安全防护的思路. 相似文献
|
