共查询到20条相似文献,搜索用时 593 毫秒
1.
Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞. 相似文献
2.
文章较全面地分析和总结了现有的Web漏洞挖掘技术及工具,以开源的Web漏洞扫描工具Paros Proxy为研究对象,对Paros Proxy的爬虫模块及检测模块进行深入研究和分析,进而对其进行改进。经测试,改进后的Paros爬虫模块支持JavaScript URLs的解析及爬行,可以提取到更多的网页链接,而改进后的检测模块,在漏洞检测性能及效率上也有明显提高。 相似文献
3.
4.
5.
白雪 《网络安全技术与应用》2013,(9):22-23
由于当前对于Web应用系统安全性的研究仅仅停留在服务安全的实现方面,对于安全测试性技术研究依然薄弱。随着Web应用的普及,越来越多的技术研究人员开始重视Web应用系统的安全性检测,越来越多的检查工具被开发了出来。本文基于Web常见的安全性问题,分析Web服务安全性测试框架,以此来探讨安全性测试技术,希望能够提升Web应用系统的安全性。 相似文献
6.
Web恶意代码主动检测与分析系统的设计与实现 总被引:1,自引:0,他引:1
在深入研究了客户端蜜罐的基础上,提出了动态与静态相结合的Web恶意代码检测方法,实现了Web恶意代码主动检测与分析系统(HoneyCat).该系统主动对指定的网站进行检测,并对可疑的页面进行分析,通过动态跟踪检测IE进程对注册表和文件的操作以及其网络行为,发现是否存在可疑行为,然后对有可疑行为的网页进行静态分析.静态分析利用漏洞特征库定位恶意代码的准确位置和所利用的漏洞.对于无法识别所利用漏洞的页面生成一个分析文件,为手工分析提供帮助,有助于对漏洞的研究,并有机会发掘未知漏洞.经过测试发现该系统运行稳定,准确率高,能有效地检测出页面中的恶意代码. 相似文献
7.
Web应用安全扫描系统及关键技术研究 总被引:3,自引:3,他引:0
讨论了开放环境下一种Web应用安全扫描系统的设计方案,该系统由漏洞特征库和遍历扫描、分析引擎,攻击测试.安全审计和报告生成等部分组成.研究了漏洞特征库描述,网站拓扑结构提取、标记解析和攻击测试算法等系统关键技术.提出了一种基于XML的Web应用漏洞标记语言--WAML,基于站点遍历实现了站点拓扑结构提取.对所实现的原型系统进行了测试分析,结果表明,系统是有效的. 相似文献
8.
本文对Web测试进行了研究,探讨了Web测试相关技术,在此基础上,设计了Web应用测试工具WebT,该工具可以有效的实现HTML语法解析、链接检查、网络导航等Web测试方面的功能.整个工作为Web应用软件测试的研究进行一定的探索. 相似文献
9.
为对电力Web信息系统进行更为有效的SQL注入漏洞检测,提出一种基于特征的SQL注入漏洞自动化渗透测试方法.针对电力信息系统的安全特征,建立其渗透测试的特征矩阵FM(feature matrix)模型,基于启发式的特征筛选HFS(heuristic feature selection)算法构建精简的有效测试集合.实现一个原型系统,在模拟电力信息系统环境搭建的目标数据集上进行实验对比分析,结果表明,该方法能有效提高SQL注入漏洞检测的准确度和检测效率. 相似文献
10.
一种全自动生成网页信息抽取Wrapper的方法 总被引:6,自引:2,他引:4
Web网页信息抽取是近年来广泛关注的话题。如何最快最准地从大量Web网页中获取主要数据成为该领域的一个研究重点。文章中提出了一种全自动化生成网页信息抽取Wrapper的方法。该方法充分利用网页设计模版的结构化、层次化特点,运用网页链接分类算法和网页结构分离算法,抽取出网页中各个信息单元,并输出相应Wrapper。利用Wrapper能够对同类网页自动地进行信息抽取。实验结果表明,该方法同时实现了对网页中严格的结构化信息和松散的结构化信息的自动化抽取,抽取结果达到非常高的准确率。 相似文献
11.
web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统,利用异构性、冗余性、动态性等特性阻断或扰乱网络攻击,以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在不足、不适应复杂安全功能测试以及难以实现准确度量等问题,本文提出了适用于拟态防御架构的web服务器测试方法,基于让步规则改进了灰盒测试,还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测试方法,在性能、兼容性、功能实现、HTTP协议一致性,安全性这些方面进行了全面的测试和分析。 相似文献
12.
13.
基于JDBC的数据库连接池的设计与实现 总被引:15,自引:0,他引:15
由实际开发基于JDBC的动态Web系统中出现的问题,提出了数据库连接管理这一重要思想。该文先对数据库连接进行详尽的分析.进而提出并实现了.一个高效的连接管理策略。特别对连接管理中的两个难点:事务处理和多数据库服务器进行了深入的探讨,并给出了相应的解决方案。最后,在销售查询系统中实现此连接池,事实证明了方案是高效的。 相似文献
14.
针对日益严峻的网页安全现状和传统的网页检测系统不能满足现代网络的安全需求的情况,在详细介绍了微软浏览器帮助对象(browser help objects,BHO)技术的工作原理的基础上,提出了一个具有自主学习能力的网页安全检测系统模型.该系统通过微软BHO技术开发的插件采集网页的行为模式数据,进而通过类关联规则建立起网页访问分类器,最终实现对访问网页的安全检测与实时监控.实验结果表明,该系统可以有效地辨别恶意网页. 相似文献
15.
侯德艳 《数字社区&智能家居》2009,(11)
数据库系统的安全检测就是寻找数据库系统中存在的安全隐患,发现系统面临的风险。数据库系统的安全检测从过程到手段每次都可能千差万别,有的可能非常简单,有的可能非常复杂。本文重点介绍了扫描、Fuzzing测试、SQL注入、缓冲区溢出等几种在检测过程中非常重要的安全检测技术。 相似文献
16.
Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。 相似文献
17.
Web应用有着自己的独特属性,其测试方法不同于传统的软件工程。本文首先研究了Web应用的主要特征,然后从用户界面、性能、兼容性、安全性等方面讨论了Web应用的测试方法。 相似文献
18.
针对Web安全协议SSL的握手协议部分进行了详尽的阐述,对其安全性作了一定的分析,给出了理论上存在的三个协议漏洞的详尽描述,并且经过测试验证,指出了SSL协议存在***模式漏洞。 相似文献
19.
针对国内扭矩扳手检测设备工作效率低下的问题,研究开发了一款基于虚拟仪器的新型扭矩自动测试系统;系统上位机采用了虚拟仪器开发平台LabWindows/CVI,下位机辅助平台以单片机为核心构建,利用RS485通讯技术,实现了对扭矩的自动加载和精确测量;通过合理的软硬件方案设计,使系统最重要的技术指标测量精度达到了3‰;软件以组件式的设计思想编制,提高了软件的质量和扩展性;经过实际使用证明,该系统能够显著提高扭矩扳手的检测效率,具有较高的实用性。 相似文献
20.
网络安全问题是当今互联网应用的重要课题之一,强化网络应用安全一方面需要加强网络安全应用意识,另一方面通过技术手段部署网络安全检测系统,实时审计网络应用内容,实现对网络应用环境的监控和保护。本文设计和实现一款网络安全检测系统,该系统能够对用户身份进行管理、通过获取主机信息和硬件信息管理软件和硬件,建立网址黑名单屏蔽危险网站浏览,并对网络传输文件进行审计,确保网络应用安全。 相似文献