网页木马与跨域漏洞

随着计算机网络的广泛应用,网络安全问题日益重要。本文分析了时下流行的网页木马的原理、InternetExplorer所实施的跨域安全模型及网页木马所利用的几个严重的跨域漏洞。旨在帮助用户提高安全意识,做好网络安全防范。     

阿页木马与跨域漏洞

随着计算机网络的广泛应用，网络安全问题日益重要：本文分析了时下流行的网页木马的原理、Internet Explorer所实施的跨域安全模型及网页木马所利用的几个严重的跨域漏洞。旨在帮助用户提高安全意识，做好网络安全防范．     

恶意代码数量激增 警惕其传播扩散

CNCERT／CC监测发现,2009年1月捕获的新恶意代码样本数量与2008年12B比大幅增长近8．5倍,与此同时。报告的垃圾邮件事件数量增长亦十分迅速,而中国被木马控制的主机数量亦增长4倍。恶意代码的传播主要有网页挂马、邮件等方式,广大用户应警惕网页和邮件附件中的恶意链接。     

教你六招防御网页挂马

网页木马能够在用户不知觉的情况下改变用户配置或者下载运行非法程序以实现某种不可告人的目的。当用户访问某个网站时,如果这个网站中有木马文件．则会在没有任何安全提示的情况下,自动下载远程CHM文件中的程序并运行。或者在后台运行网页上的恶意代码。网页木马虽然比较可怕,但是向非典一样,仍然是可防可控的。     

分析多类特征和欺诈技术检测JavaScript恶意代码

JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有较好的识别能力。     

基于客户端的恶意网页收集系统

设计一个基于客户端的恶意网页收集系统。系统通过设置主题爬虫,有针对性地获取可能包含恶意脚本的网页文件,通过分析恶意代码常见的挂木马方式与恶意代码样本,设计正则表达式来提取网页恶意代码的特征码,利用相应算法扫描并匹配利用爬虫获取的网页文件,如发现网页文件中包含可疑的恶意脚本,则将它的域名URL、恶意网页路径与恶意代码脚本类型存入恶意网页库中,以实现恶意网页的搜集。     

基于MMTD网页挂马响应的研究

当今网络中通过网页来种植木马的现象已很普遍。利用网页来传播木马技术就是将木马的域名隐藏在网页里,用户在浏览网页时,隐藏在网页中的木马就会被种植到用户的系统中。因此如果被访问的网页嵌入了木马的域名,那么当网络用户发出链接请求响应时,网络的响应将变得异常。基于上述原因,本文从链接请求响应次数的角度,来判断网页中是否藏有木马域名。首先简介木马技术,网页挂马技术和中介的基本概念,然后给出检测函数y=f(x)以及MMTD在检测木马上的应用,最后给出具体检测算法。     

运用Antlrworks和Mxgraph分析JavaScript的方法

JavaScript是网页设计中常见的一种客户端编程语言。有效检测通过JavaScript脚本传播的网页木马、病毒等,是在网页安全中时常讨论的一个话题。对网页脚本进行分析,了解其执行流程,是恶意代码检测的前期所需工作。经实践,运用Antlrworks工具可用来分析JavaScript脚本的词法和语法,而利用Mxgraph则可用于显示解析出的程序基本块图结构。     

警惕网页仿冒关注境外攻击

2010年5月,CNCERT对互联网网络安全状况整体的评价为良．我国互联网基础设施运行平稳,全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于信息系统高危漏洞、恶意代码传播以及网站攻击活动。根据CNCERT监测结果,除我国境内木马和僵尸网络控制服务器数量有所增长外,境内木马和僵尸网络受控主机数量、网页篡改数量均有不同程度的下降。     

网页恶意代码攻击与防御

该文从理论角度分析了网页恶意代码的特征、传播手法,详细列举了网页恶意代码的种种表现形式及应对措施,同时针对目前网络安全现状提出了一些防范网页恶意代码的建议。     

面向恶意网页的静态特征体系研究

恶意网页是一种新型的Web攻击手法,攻击者通常将一段恶意代码嵌入网页中,当用户访问该网页时,恶意代码会试图利用浏览器或其插件漏洞在后台隐秘地执行一系列恶意行为.针对恶意网页静态特征抽取问题,本文从已有的特征中选取了14个信息增益值较高的特征,并通过分析恶意网页的混淆手法提出了8个新的特征,共同组成了22维的静态特征体系.此外,针对已有特征抽取流程提出两点改进：对不同编码格式的原始网页进行预处理;回送JavaScript脚本动态生成的的HTML代码,用以进一步抽取HTML相关特征.实验表明,在不均衡数据集和均衡数据集上,本文的特征体系具有一定的有效性.     

基于机器学习的浏览器挖矿检测模型研究

浏览器挖矿通过向网页内嵌入挖矿代码,使得用户访问该网站的同时,非法占用他人系统资源和网络资源开采货币,达到自己获益的挖矿攻击。通过对网页挖矿特征进行融合,选取八个特征用以恶意挖矿攻击检测,同时使用逻辑回归、支持向量机、决策树、随机森林四种算法进行模型训练,最终得到了平均识别率高达98.7%的检测模型。同时经实验得出随机森林算法模型在恶意挖矿检测中性能最高;有无Websocket连接、Web Worker的个数和Postmessage及onmessage事件总数这三个特征的组合对恶意挖矿检测具有高标识性。     

New Attack Tricks Antivirus Software

Traditionally, antivirus products stop malicious software by recognizing code signatures unique to different types of malware. When the applications encounter a file with a code string that matches one in their database for a known virus, they block its access to the intended victim's computer. However, with the advent of Web 2.0, in which Web sites make it easy for users to add content, hackers have found a new way to spread malicious code and short-circuit the pattern-matching antivirus approach. DCO employs algorithms to change and disguise JavaScript-based malware code without making it less harmful, thereby keeping pattern-matching antivirus software from recognizing exploits.     

基于系统内核的全方位立体文件保护系统

文章设计了基于系统内核的全方位立体分级文件保护系统,该系统通过系统内核开发,实现对硬盘文件的透明加密与隐藏,从而实现文件的内容安全与自身安全,在保护文件中保存的内容不被泄露的同时,也保证了文件自身免受非法用户、木马、病毒及恶意代码轻易的篡改、破坏及窃取。     

融合多种特征的恶意URL检测方法

随着Web应用的日益广泛,Web浏览过程中,恶意网页对用户造成的危害日趋严重.恶意URL是指其所对应的网页中含有对用户造成危害的恶意代码,会利用浏览器或插件存在的漏洞攻击用户,导致浏览器自动下载恶意软件.基于对大量存活恶意URL特征的统计分析,并重点结合了恶意URL的重定向跳转、客户端环境探测等逃避检测特征,从页面内容、JavaScript函数参数和Web会话流程这3个方面设计了25个特征,提出了基于多特征融合和机器学习的恶意URL检测方法——HADMW.测试结果表明：该方法取得了96.2%的精确率和94.6%的召回率,能够有效地检测恶意URL.与开源项目以及安全软件的检测结果相比,HADMW取得了更好的效果.     

Removing web spam links from search engine results

Web spam denotes the manipulation of web pages with the sole intent to raise their position in search engine rankings. Since a better position in the rankings directly and positively affects the number of visits to a site, attackers use different techniques to boost their pages to higher ranks. In the best case, web spam pages are a nuisance that provide undeserved advertisement revenues to the page owners. In the worst case, these pages pose a threat to Internet users by hosting malicious content and launching drive-by attacks against unsuspecting victims. When successful, these drive-by attacks then install malware on the victims’ machines. In this paper, we introduce an approach to detect web spam pages in the list of results that are returned by a search engine. In a first step, we determine the importance of different page features to the ranking in search engine results. Based on this information, we develop a classification technique that uses important features to successfully distinguish spam sites from legitimate entries. By removing spam sites from the results, more slots are available to links that point to pages with useful content. Additionally, and more importantly, the threat posed by malicious web sites can be mitigated, reducing the risk for users to get infected by malicious code that spreads via drive-by attacks.     

Widget Identification: A High-Level Approach to Accessibility

The Web 2.0 sees once static pages evolve into hybrid applications, and content that was previously simple, now becoming increasingly complicated due to the many updating components located throughout the page. While beneficial for some users, these components (widgets) are often complex and will lead to confusion and frustration for others, notably those for whom accessibility is already an issue. While users and developers often perceive widgets as complete components (a Slideshow, or an Auto Suggest List), they are in-fact heterogeneous collections of code, and are therefore hard to computationally identify. Identification is critical if we wish to reverse engineer inaccessible widgets or ‘inject’ missing ‘WAI-ARIA’ into ‘RIAs’. In this case, we introduce a technique that analyses the code associated with a Web page to identify widgets using combinations of code constructs which enable uniquely identification. We go on to technically evaluate our approach with the most difficult widgets to distinguish between—Slideshows and Carousels—and then describe two prototype applications for visually impaired and older users by means of example.     

使用PHP实现图片验证码的方法

为了防止非法用户利用试探方法自动登录网站,基于验证码技术,利用PHP语言设计出一种实现图片验证码的具体方法,经过在Web系统登录页面的实际应用发现,该图片验证码能够有效地阻止非法用户的攻击,提高了网络系统的安全性。     

云环境下基于混合密码体系的跨域控制方案

针对当前云环境下用户跨域控制方案不能满足不同密码体系之间的相互跨域访问的需求,借鉴PKI（public key infrastructure）认证体系的思想构造了一种基于混合密码体系的跨域控制方案。该方案以PKI认证体系为不同密码体系安全域的管理框架,以CA（certificate authority）为不同安全域用户的公共跨域认证中心,对不同安全域的用户进行认证,并根据验证结果为其分配公共跨域身份和身份控制标签。它不仅实现了对不同密码体系之间的相互访问,并且根据签发的身份控制标签完成用户的实时控制,一旦发现恶意用户便撤销用户公共跨域身份,并对恶意用户的实名身份进行标注。分析结果表明,新方案在满足正确性、不可伪造性、高安全性的同时可以抵抗重放攻击、替换攻击和中间人攻击,并且降低了计算开销。     

基于教育区块链与无证书签名的身份认证方案

针对当前教育资源共享安全性低和身份认证困难的问题, 提出了一种区块链技术与无证书签名相结合的可跨域身份认证方案, 将无证书签名技术的高安全性、无密钥托管问题等优点应用到区块链的分布式网络中, 实现了身份认证过程中用户安全、跨域认证、恶意用户可追溯、注册信息不可篡改. 首先, 基于教育区块链与无证书签名的身份认证方案是建...