跨站脚本攻击及防范技术研究

跨站脚本攻击是当前Web安全领域常用攻击手段。该文介绍了跨站脚本攻击的基本概念,揭示了跨站脚本漏洞的严重性,分析跨站脚本漏洞的触发机制,论述了两种常见跨站脚本攻击模式,展示了几种跨站脚本攻击效果。最后,分别从Web应用程序编写和客户端用户两个层次,对跨站脚本攻击的防范措施进行了阐述。     

跨站脚本攻击及防范技术研究

跨站脚本攻击是当前Web安全领域常用攻击手段.该文介绍了跨站脚本攻击的基本概念,揭示了跨站脚本漏洞的严重性,分析跨站脚本漏洞的触发机制,论述了两种常见跨站脚本攻击模式,展示了几种跨站脚本攻击效果.最后,分别从Web应用程序编写和客户端用户两个层次,对跨站脚本攻击的防范措施进行了阐述.     

基于行为语义分析的Web恶意代码检测机制研究

在Web安全问题的研究中,如何提高Web恶意代码的检测效率一直是Web恶意代码检测方法研究中需要解决的问题。为此,针对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode方面的检测,提出一种基于行为语义分析的Web恶意代码检测机制。通过对上述漏洞的行为和语义进行分析,提取行为特征,构建Web客户端脚本解析引擎和Web Shellcode检测引擎,实现对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode等的正确检测,以及对Web Shellcode攻击行为进行取证的功能。实验分析结果表明,新的Web恶意代码检测机制具有检测能力强、漏检率低的性能。     

Web应用中的攻击防御技术的研究与实现

该文介绍了SQL注入式攻击、XSS跨站脚本攻击、会话劫持3种网络攻击手段的原理,并在此基础上重点论述了如何防范这些攻击的方法。     

Web跨站脚本漏洞检测工具的设计与实现

分析跨站脚本漏洞的形成原因,提出从攻击作用位置角度对跨站脚本漏洞进行分类的方法,在此基础上完善跨站脚本漏洞检测模型,实现动态的漏洞检测工具,弥补现有工具的缺陷,检测结果更为完整。实验证明,该工具能有效检测Web应用程序中的跨站脚本漏洞,较同类工具更具优越性。     

浅议跨站脚本攻击的检测与防护

随着互联网技术的迅猛发展,跨站脚本攻击逐渐成为威胁网站安全的重要攻击手段之一.阐述了跨站脚本攻击的原理,详细介绍了跨站脚本漏洞的检测方法与用例,并总结了防止跨站脚本攻击的防护方法与措施.     

基于PHP安全漏洞的Web攻击防范研究

文章以PHP语言为例对跨站脚本漏洞、文件上传漏洞的常见攻击进行了较为详细的分析并给出了相应的防范措施,以此为基础,总结出了Web应用程序安全漏洞产生的一般原因和开发安全Web应用的一些建议。     

跨站脚本蠕虫的技术与研究

跨站脚本攻击（XSS）是目前安全漏洞中最为常用的攻击手段之一。介绍了跨站脚本漏洞及其基本原理和攻击方式;设计了一个跨站脚本蠕虫,并对其进行分析;给出了一个XSS的实例及其攻击破坏的过程。对研究XSS起到一定的启示作用。     

跨站脚本漏洞的白盒测试框架的设计和实现

伴随着B/S架构的流行和Web2.0时代的迅速发展,由于对不可信用户数据缺乏正确的校验机制,造成跨站脚本漏洞广泛地存在于各类网站中,并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合,使得当前技术无法准确而有效地生成攻击向量,探测跨站脚本漏洞。本文基于静态数据流特征分析,依据脚本注入位置和攻击向量模式设计了新的分析模糊器,通过采用字符串约束求解技术来验证攻击向量的有效性,并实现了白盒测试框架的原型系统XSS-Explore。实验结果表明,与同类工具相比,该系统能够较全面而准确地检测跨站脚本漏洞。     

跨站请求伪造攻击技术浅析

随着WEB应用逐渐普及,这提升了用户的使用体验,但是随之而来的安全漏洞时刻威胁着服务提供商与用户,引起人们对网络安全问题的关注。本文以"跨站"脚本201D攻击为例,首先对CSRF攻击技术的基本概念进行介绍,分析"跨站"请求伪造攻击原理,复现攻击场景,剖析该类漏洞的利用方法与触发条件。根据"跨站"请求伪造攻击的特点提出三种防御策略,为服务器安全体系结构的设计提供思路。     

中小型网站智能安全检测研究

随着互联网的发展及经济利益的驱动,黑客已将攻击重点转到web应用服务器上,由此危害了服务器安全及客户端安全。针对这一现状,文章首先采用广度优先算法实现网络爬虫来获取目标网站的架构信息;然后用网页动态参数判定、网站架构分析、信息智能识别等技术对网站安全进行辅助检测,用正则表达式过滤非法跨站请求,实现跨站脚本攻击检测;最后,用正则表达式和Python强大的库资源编程实现了应用安全的实时检测和评估功能。实验表明：该系统在一定程度上减少了Web恶意攻击行为所带来的损失,提高了应对网页信息安全突发事件的响应速度。     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

跨站脚本攻击实践及防范

本文对严重影响Web安全的XSS漏洞进行了概述,剖析了其产生的原因,对其攻击的类型和攻击的方式进行了说明和验证,并且针对XSS漏洞的攻击提出了一些有效的防范措施。     

一种基于支持向量机的跨站脚本漏洞检测技术

跨站脚本是一种常见的针对Web应用程序安全的漏洞攻击方式。恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为产生。为此,针对各种变形跨站脚本攻击难以检测问题,对一种基于正则表达式和支持向量机的递归特征消去算法（RE-SVM-RFE）进行了研究。首先采用正则表达式匹配算法,为训练集选择有代表性的特征,即对数据预处理;再利用RE-SVM-RFE特征选择算法选择出最优特征,再对具有攻击性的关键词进行特征排序;最后通过总结特征关键字的出现频率,发现频率越高漏洞存在可能性越大。实验结果表明,数据经过RE-SVM-RFE递归特征消去算法选择之后的SVM特征,预测的准确率更高,敏感度和特异度也更好,该算法能够有效地检测出跨站脚本漏洞。     

基于动态数据生成缺陷的XSS漏洞挖掘技术

XSS漏洞普遍存在于当前Web应用中,而且危害极其严重。随着Web2．0的到来,Web应用日趋大型化和复杂化,进一步为web漏洞的滋生提供了温床。针对大型web应用中复杂的数据组织结构,文章提出一种基于动态数据生成缺陷的XSS漏洞挖掘方法,能快速、高效地挖掘出大型Web应用中存在的XSS漏洞。同时,利用这一挖掘方法对web应用中存在的HTTPResponseSplitting漏洞、URLRedirection漏洞进行挖掘分析,都取得了非常显著的效果。