共查询到20条相似文献,搜索用时 93 毫秒
1.
《计算机应用与软件》2014,(2)
深入研究基于PHP的远程文件包含漏洞检测以及漏洞分级等技术,在此基础上设计和实现远程文件包含漏洞分级检测工具,并搭建基于PHP语言的目标系统,对检测工具原型进行全面的功能和性能测试。提出漏洞分级检测思想,模拟攻击者向应用系统发送请求,通过服务器的返回信息来判断漏洞的存在性及漏洞的级别。 相似文献
2.
3.
Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞. 相似文献
4.
5.
吴羽翔 《计算机光盘软件与应用》2014,(4):161-162
在Web渗透测试中,使用自动化工具进行漏洞利用向来是安全人员比较喜欢的一种手段。但随着Web应用的不断发展,传统的自动化安全工具已无法满足渗透测试员的需求。本文提出了一种全新的Web应用攻击模型,根据此模型设计了一个开放式的基于模块化设计的Web应用程序漏洞利用框架,并简述了其部分开发细节。该框架可以实现针对特定Web应用的定制化渗透测试并通过其高度自由的模块化定制实现各类拓展。 相似文献
6.
7.
由于Web技术的迅猛发展,Web系统功能愈加丰富多彩,传统的Web系统仅用于信息发布,而如今的Web系统应用,如购物网站、论坛、微博功能愈加完善,不仅有信息发布,还有网民娱乐、购物、聊天等功能,功能的完善意味着这些网站安全问题的突出,许多网站存在头像上传、附件上传等功能,由此便产生了文件上传漏洞,安全管理者和安全运维者的责任则更加突出,安全问题亟待解决。 相似文献
8.
9.
10.
Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响,带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响,提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术,建立了模糊测试的SQL注入漏洞检测模型框架,使用漏洞检测框架的信息收集模块、模糊检测模块,按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境,对基于模糊测试技术SQL注入漏洞检测模型进行实验论证,仿真实验结果得出:基于模糊测试法的SQL注入漏洞检测模型,相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言,在不同分级漏洞检测中的确认、检测效果更优(达到90%以上)。 相似文献
11.
12.
13.
14.
设计了一种生成数据库访问层程序代码的方法。该方法先从现有数据库或PowerDesigner模型文件中解析出数据库架构信息,并将这些信息用XML格式描述,然后利用XSLT将该XML格式文件转换为用高级程序语言表示的程序代码. 相似文献
15.
脆弱性分析是网络安全风险分析与控制的关键技术,脆弱性也是网络攻防双方争夺信息优势的焦点。阐述了网络攻防控制的作用原理,提出了相对脆弱性分析的概念,从结构脆弱性分析的角度,分析了信息网络中访问路径上的节点脆弱性,给出了分析模型以及计算关键节点和访问路径综合脆弱性的分析方法,对分析算法进行了描述。该算法可计算出信息网络中任意两对节点之间访问路径的最大综合脆弱性,为网络安全控制提供了有效评估手段。 相似文献
16.
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。脆弱性评估是安全风险评估的一个重要步骤,信息系统脆弱性评估有的部分要使用工具评估,也有的部分要靠专家来评估。运用层次分析法得出了一种比较合理的脆弱性评估模式。 相似文献
17.
提供一种运用XML描述安全漏洞的方式,以实现漏洞信息的存储、查询和更新,并分析其在扫描工具和信息收集工具中的应用。 相似文献
18.
异构XML文档类型定义的转换与集成 总被引:3,自引:0,他引:3
XML 数据的集成是当前的研究热点之一 .由于不同设计者的自治性 ,描述同一领域内容的 XML 文档可能在语义和结构上存在异构性 .提出一种异构 DTD的转换和集成方法 ,将 DTD转化为 IDMX模型的表示 ,然后通过模式比较、模式变换、模式合并与冲突消解的过程得到全局模式以及全局模式到局部模式的映射 .并介绍了异构 XML 数据源集成系统 KD- XIS 相似文献
19.
Windows快捷方式漏洞(亦称lnk漏洞)是2010年7月份发现的一个高危漏洞,几乎所有的Windows系统都受到此漏洞的影响。本文详细分析了Windows操作系统解析lnk文件的过程,并结合逆向工程技术剖析了lnk漏洞的工作原理。在此基础上,设计实现了一个lnk漏洞例程,并提交VirusTotal网站检测,结果说明目前lnk漏洞仍然存在安全威胁。 相似文献
20.
模拟攻击测试方式的漏洞检测系统的设计与实现 总被引:2,自引:1,他引:2
扫描方式的漏洞检测工具往往因为无法得到目标系统的准确信息而无法准确判断目标系统的安全状况,而模拟攻击测试方法可以准确判断目标系统是否存在测试的漏洞。大部分新漏洞发布的同时也会发布相应的测试程序,但是测试程序参数的复杂多样造成了集成的困难,把参数分为DR(运行时决定的类型)、DL(运行时查表决定的类型)和DV(默认值参数)三种类型,利用XML在数据结构描述方面的灵活性解决了这个问题。介绍了一个利用XML描述测试程序接口参数的模拟攻击测试方式的漏洞检测系统。 相似文献