一种Web应用软件安全脆弱性测试模型

研究使用错误注入的方法进行web应用软件脆弱性测试的技术,提出环境与状态错误模型(EAS模型),并提出基于EAS模型的web应用软件安全性测试方法.使用EAS模型对来自OWASP的漏洞数据库进行了分类,并与使用EAI模型分类的结果做了对比.使用EAS模型测试了WEB应用软件PEGames,发现了其中的6个漏洞.实验表明,EAS模型具有良好的漏洞覆盖能力和漏洞揭示能力.     

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.     

安全视觉下C/C++程序漏洞的分类研究

C/C++语言在追求高效、灵活的同时也带来了诸如内存泄漏、指针非法使用等安全漏洞,极大地威胁着系统的安全。通过对计算机漏洞的分类研究,有助于增强人们对漏洞本质的理解以及针对性地检测、消除漏洞。本文在分析大量安全漏洞的基础上,对C/C++中的安全漏洞进行分类,为安全规则检查器的构造提供依据,为软件的安全开发提供指导。     

基于Fuzzing的Web控件漏洞检测改进模型

Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测WebActiveX控件模型的漏洞,给出"启发式规则"来优化测试数据生成引擎。实例测试结果表明,Web控件漏洞的Fuzzing测试模型是有效和可行的,并能妥善处理好交互性问题。     

基于市场占有率的操作系统安全漏洞检测模型

操作系统等系统软件中的安全漏洞本质上是一种没有满足软件安全性的缺陷.对安全漏洞的检测过程进行深入研究能够使安全测试人员合理分配测试资源,更准确地评估软件的安全性.深入分析了影响操作系统软件安全漏洞检测的因素,认为安全漏洞检测速度与软件的市场占有率、已发现漏洞数和未发现漏洞数成正比.在此基础上建立了基于市场占有率的漏洞检测模型.该模型表明:在软件发布之前只会暴露少量安全漏洞;某些安全漏洞最终不会被检测到.这两个结论已被实际的数据证实.最后用提出的模型分析了三种流行操作系统的漏洞检测数据集.与同类模型相比,模型具有更好的拟合能力与预测能力.     

基于Web应用的安全系统的研究

当前,Web应用的安全问题已经受到越来越多的挑战,人们对于Web的安全也给予了更多的关注.针对Web应用的安全系统进行了分析,描述了Web应用安全漏洞的级别,并对安全漏洞的进行分类,将其总结和归类;在传统的Web应用漏洞扫描系统的基础上,针对漏洞扫描系统的目标,设计出Web应用安全扫描系统,并对其各个模块的基本功能进行了分析;对遍历扫描模块进行了详细的分析.     

国家电网边缘计算应用安全风险评估研究

依据国家网络安全等级保护与风险评估系列标准以及电力信息系统特点,提出国家电网边缘计算应用安全的风险评估模型,然后采用漏洞扫描工具AWVS、AppScan分别对集成最新安全漏洞的开源Web应用靶机软件BWAPP进行安全漏洞评测与风险评估实验,再运用模糊层次分析法对Web应用安全进行综合安全评价。针对应用程序的安全检测实验结果整理安全评估数据,实现对国家电网边缘计算应用安全风险评估的实例化验证。     

Web服务安全性测试技术研究

Web服务的应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。Web服务安全性测试是保证Web服务软件安全性、降低安全风险的重要手段。本文提出了一种Web服务安全性测试框架,论述了Web服务主要的安全功能需求、实现标准及实施安全功能测试的一般原理,并从攻击Web服务的角度对Web服务安全漏洞测试进行了系统介绍,分析了Web服务常见的安全漏洞及测试方法。     

B／S架构软件的安全性测试研究

网络技术的发展使得以Web2．0为核心的应用越来越广泛,B／S架构软件的安全缺陷和漏洞不断增多,B／S架构的特殊性使得对B／S架构软件的安全性测试方法应不同于传统软件。文中描述了B／S架构软件的特点,对Web软件的安全性测试进行了分类,并详细阐述了测试要点和测试内容。从攻击者的角度,分析了Web软件常见的安全漏洞和测试方法。最后总结了当前研究工作并指出了未来软件安全性测试技术的研究重点与发展方向。     

一种基于AHP模型的浏览器漏洞分类方法

通过对浏览器安全漏洞的形成原因和利用效果进行分析,并利用层次分类模型,提出了一种基于AHP模型的浏览器安全漏洞分类方法。该方法从漏洞成因和攻击效果两个维度上对浏览器安全漏洞进行分类,并把分类结果与CNNVD的分类方法的分类结果进行了对比,结果表明本文的分类方法具有更好的适用性。     

对Web安全性测试技术的分析

随着互联网技术水平的不断提高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露,埋下了严重的安全隐患。鉴于此,本文基于Web安全性测试技术进行相应探讨。     

Web服务故障的分类方法①

Web服务故障分类是实现故障诊断的基础。在分析了Web服务的故障管理流程的基础上,提出了Web服务类型和执行过程相结合的Web服务故障分类方法,构建了Web服务故障树,根据故障及其外部表现间的对应关系构造了Web服务故障矩阵,通过分析和验证说明Web服务分类方法能够有效支持快速、准确的Web服务故障诊断。     

改进的TLS指纹增强用户行为安全分析能力

随着攻防对抗的升级,用户行为分析与网络安全的结合逐渐进入了研究者的视野。用户行为分析技术可以做到在被成功攻击前识别不可信用户,遏制入侵,达到主动防御的效果。当前在Web安全中用户行为分析所使用的数据源主要是应用层HTTP维度的数据,这不足以确定用户身份,容易造成漏报。在安全性和隐私性更好的HTTPS技术被大规模应用的情况下,文中提出了基于n-gram和Simhash的改进的TLS指纹数据,该方法提高了现有TLS(Transport Layer Security)指纹的容错性。将该指纹应用到用户行为分析中可提高用户身份判定的准确率。对比实验使用卷积神经网络对从真实环境中得到的指纹数据和日志型用户行为数据进行建模分析。结果表明,改进的TLS指纹数据可以更有效地识别用户和黑客,将准确率提高了4.2%。进一步的分析表明,通过改进的TLS指纹关联用户行为和时间轴回溯,还能在一定程度上对黑客进行追踪溯源,从而为安全事件调查提供情报上下文。     

基于结构特征的二进制代码安全缺陷分析模型

针对现有方法检测复杂结构二进制代码安全缺陷的不足,提出新的分析模型,并给出其应用方法。首先以缺陷的源代码元素集合生成特征元素集合,抽取代码结构信息,构建分析模型。然后依据各类中间表示（IR,intermediate representation）语句的统计概率计算分析模型,查找满足特征模型的IR代码组,通过IR代码与二进制代码的转换关系,实现对二进制程序中代码安全缺陷的有效检测。分析模型可应用于二进制单线程程序和并行程序。实验结果表明,相对于现有方法,应用该分析模型能够更全面深入地检测出各类结构复杂的二进制代码安全缺陷,且准确率更高。     

Web 2.0 Injection Infection Vulnerability Class

ABSTRACT

Web 2.0 defines a changing trend in the use of World Wide Web application development and web design technology. Web 2.0 design concepts have led to the evolution of a web culture that has allowed social-networking and ease of design use of non-secure component applications to enter the business domain of the enterprise. These Web 2.0 component applications are then commingled with other business legacy applications including databases. This article focuses on the taxonomy of the injection infection class of vulnerabilities associated with Web 2.0 application security issues.     

一种端到端的SOA安全服务解决方案

针对Web服务的安全问题日益严重,本文结合实例分析面向服务架构的安全漏洞及安全需求,提出了构建端到端安全服务的解决方案,并在WS-Security、SAML等有关消息级安全的规范基础上,探讨了面向服务架构的安全架构设计与实现方法.通过采用Web服务和身份管理的最佳实践模型,保证了所传输消息的机密性、完整性、抗抵赖性,实现了安全的身份验证及单点登录.     

基于WS-Security的Web服务安全的实现

Web服务应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。现有的保护Web服务的安全技术存在一些缺点和不足,而WS-Security规范的出现弥补了这些缺陷。本文在此基础上先对WS-Security规范进行了阐述,然后以.NET Framework 3.0为平台,利用该框架新增的组件Windows通信基础,给出了一个具体的Web服务安全的实现方法。     

Web Service安全策略与技术初探

本文对Web Service的安全模型、安全策略和技术进行初步分析和探讨，使Web应用的开发者和管理者在建立和使用Web应用的过程中充分考虑和借鉴Web Service安全策略，以防止Web应用中各种安全漏洞的出现。