Web前端常见安全问题及对策

介绍了近些年在Web安全方面常见的一些案例,然后介绍了Web前端安全方面常见的几种漏洞,以及在开发过程中采用何种策略规避这些Web漏洞,降低和避免Web网站受到攻击。     

基于改进模糊测试的Web应用漏洞挖掘方法

为解决Web模糊测试挖掘漏洞速度较慢、发现漏洞数较少的问题,提出一种改进的Web模糊测试向量生成方法。在通用的Web应用模糊测试结构（Web Fuzzing）基础上,分析现有测试向量生成方法,引入遗传算法来改进Web模糊测试向量生成方法。基于该方法实现XSS模糊测试工具,使用该工具对2个Web应用系统进行测试,将结果与现有模糊测试工具测试结果对比,验证了使用该方法挖掘Web漏洞速度快,发现漏洞数更多,提高了漏洞挖掘效率。     

通用Web漏洞库

本文研究了国内外Web漏洞库及建设的现状,设计并实现了一个专注于Web漏洞发布的Web漏洞数据库．文中兼顾了Web漏洞的固有特点及其与传统漏洞的属性差别,设计了Web漏洞库描述模型,丰富了Web漏洞的收集方法,定义了Web漏洞的漏洞评价属性标准,并在Web漏洞库中添加了Web漏洞重现模块．我们所设计的Web漏洞库确保了全面的Web漏洞信息收集和Web漏洞信息发布的标准化,可更好地对Web漏洞信息和数据进行分析研究,也为Web安全提供了有力的技术支撑．     

基于Web应用的安全系统的研究

当前,Web应用的安全问题已经受到越来越多的挑战,人们对于Web的安全也给予了更多的关注.针对Web应用的安全系统进行了分析,描述了Web应用安全漏洞的级别,并对安全漏洞的进行分类,将其总结和归类;在传统的Web应用漏洞扫描系统的基础上,针对漏洞扫描系统的目标,设计出Web应用安全扫描系统,并对其各个模块的基本功能进行了分析;对遍历扫描模块进行了详细的分析.     

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.     

“1+X”下的网络安全类课程实验教学的探索与实践——以Web安全为例

本文结合网络安全类“1+X”证书标准和现有Web安全面临的威胁，设计了高职学校《Web安全》课程的教学实验项目，利用现有的开源Web漏洞平台搭建教学环境，采用多个漏洞平台并用、优势互补的方式，尽可能提高学生对于Web安全技术的掌握程度，文章的最后以知名的CSRF漏洞为例，重点阐述了实验教学的开展过程。     

Web应用程序漏洞及安全研究

Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险,但有许多方法可以帮助减轻这一危险。本文研究了Web应用程序的漏洞,探讨了Web安全的现状及问题由来以及几种主要Web安全技术,提出了实现Web安全的几条措施。     

Web应用SQL注入漏洞检测工具的设计与实现

由于Web应用系统的开发周期较短,同时开发人员安全编程意识不足,Web应用程序会存在漏洞。因此,检测Web应用系统的安全性是安全领域的亟待解决的问题。SQL注入漏洞检测工具模拟黑客攻击的方式,采用网络爬虫技术建立需检测的URL库,依据SQL注入模板精心构造URL,并从根据浏览器返回信息,判定是否存在SQL注入点。可以提前意识到Web应用存在的漏洞,并及时修补,降低系统受攻击的风险,是有效的Web安全防护手段。     

基于WS-Security的Web服务安全的实现

Web服务应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。现有的保护Web服务的安全技术存在一些缺点和不足,而WS-Security规范的出现弥补了这些缺陷。本文在此基础上先对WS-Security规范进行了阐述,然后以.NET Framework 3.0为平台,利用该框架新增的组件Windows通信基础,给出了一个具体的Web服务安全的实现方法。     

Java Web应用程序安全技术研究

Java Web技术自诞生到现在越来越广泛,已经成为流行技术中的一种。对Java Web应用程序面临的威胁做了比较详细的技术分析与探讨,指出了相关Web技术存在的漏洞,分析并提出了安全解决方案,为开发安全的Java Web应用程序提供技术支持。     

一种基于预警信息的漏洞自动化快速防护方法

针对当前Web应用防护方法无法有效应对未知漏洞攻击、性能损耗高、响应速度慢的问题,本文从漏洞预警公告中快速提取漏洞影响范围和细节,然后对目标系统存在风险的访问请求与缺陷文件和函数调用关系进行自动化定位,构建正常访问模型,从而形成动态可信验证机制,提出并实现了基于预警信息的漏洞自动化快速防护方法,最后以流行PHP Web应用的多个高危漏洞对本文方法进行验证测试,结果表明本文方法能够自动化快速成功阻止最新漏洞攻击,平均性能损耗仅为5.31%。     

网站漏洞扫描软件

论文首先分析了网站安全面临的严峻形势,指出设计网站漏洞扫描工具的必要性. 论文对系统所采用的网络爬虫技术、网站结构树的构建方法、以及SQL注入、XXS攻击、整数溢出、URL重定向、格式化字符串等常见漏洞类型的检测方法进行了分析与研究,为系统的成功实现提供了保证. 论文还描述了系统的架构和子模块的设计. 最后的测试结果表明该系统能够快速全面的检测常见类型漏洞,目前软件已交付使用.     

浅析Web应用系统的安全及防护策略

随着网络技术的发展,Web应用服务的快速普及,各种基于Internet的Web应用系统的攻击事件频发。本文试着分析Web应用系统主要安全问题及威胁Web安全的主要原因,提出Web应用系统的防护策略。     

对Web安全性测试技术的分析

随着互联网技术水平的不断提高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露,埋下了严重的安全隐患。鉴于此,本文基于Web安全性测试技术进行相应探讨。     

一个典型的Web安全评测工具的分析与改进

文章较全面地分析和总结了现有的Web漏洞挖掘技术及工具,以开源的Web漏洞扫描工具Paros Proxy为研究对象,对Paros Proxy的爬虫模块及检测模块进行深入研究和分析,进而对其进行改进。经测试,改进后的Paros爬虫模块支持JavaScript URLs的解析及爬行,可以提取到更多的网页链接,而改进后的检测模块,在漏洞检测性能及效率上也有明显提高。     

面向软件攻击面的Web应用安全评估模型研究

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。     

HTML5对Web应用产生的影响及安全问题研究

作为下一代的网页语言,HTML5拥有很多让人期待已久的新特性,它可以说是近十年来Web标准最巨大的飞跃。然而,与其他网络技术一样,HTML5同样伴随巨大的网络安全问题,文章在总结HTML5发展历程的基础上,研究了其对Web应用以及网络安全产生的影响。在此基础上,文章又分析了HTML5应用自身存在的安全问题,并从管理和技术两方面提出了对策。     

Web应用安全风险及其防护体系研究

为了建立全方位的有效的Web应用安全防护体系,首先分析了2013OWASP Top 10中发布的十大Web安全风险,然后根据《信息系统安全等级保护基本要求GB/T 22239-2008》分析了技术和管理方面如何规避十大Web安全风险,最后提出了以漏洞扫描、网页防篡改、域名防劫持、Web应用防火墙和Web实时监测等为主要措施的Web应用安全防护体系.该安全防护体系在Web应用系统的部署、运行维护和评估等环节从检测、防护、监测和审计等方面对Web应用系统进行有效保护.     

浅析Web应用软件开发安全

Web应用软件的安全问题日益突出, 提高软件代码自身安全和在软件开过程中控制安全风险成为亟需解决的问题. 本文首先剖析了Web应用常见的安全漏洞, 分析其表现形式、形成原因、规避措施, 并提出了在软件开发生命周期全过程中预防安全漏洞的措施和方法. 通过从软件开发过程管理和技术手段两个方面系统性地预防Web应用安全风险, 有效地提高了交付Web应用软件的安全性.