灰盒web安全检测技术

在传统应用测试方法中,灰盒测试介于白盒测试与黑盒测试之间。灰盒Web安全检测依然遵循灰盒测试概念,但只关注代码实现的安全部分。Web应用代码层面的安全问题或安全漏洞绝大部分来自于输入,在代码业务逻辑中关键函数的执行未做安全处理,最终形成安全问题或安全漏洞。     

面向软件攻击面的Web应用安全评估模型研究

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。     

基于WS-Security规范的安全Web服务性能评估

为了评估使用WS-Security规范进行安全处理后的Web服务性能,在研究分析Web服务架构及WS-Security规范的基础上,建立一个改进的时间响应评估模型.采用真实的测试环境,针对Web服务的时间性能和消息大小进行了实验,得出WS-Security安全规范对Web服务响应时间和空间性能的影响,从而为Web服务在安全和性能两方面如何选择提供真实依据,对Web服务安全研究具有重要意义.     

Web应用安全风险及其防护体系研究

为了建立全方位的有效的Web应用安全防护体系,首先分析了2013OWASP Top 10中发布的十大Web安全风险,然后根据《信息系统安全等级保护基本要求GB/T 22239-2008》分析了技术和管理方面如何规避十大Web安全风险,最后提出了以漏洞扫描、网页防篡改、域名防劫持、Web应用防火墙和Web实时监测等为主要措施的Web应用安全防护体系.该安全防护体系在Web应用系统的部署、运行维护和评估等环节从检测、防护、监测和审计等方面对Web应用系统进行有效保护.     

为Web服务访问控制构建沙盒模型

本文提出了一种Web服务访问控制沙盒模型。该模型不仅可以利用传统的身份验证还可以通过扩展SOAP消息,加入角色信息,利用角色验证来保证Web服务的访问安全。此外,该模型还提出了一种安全管理器的机制,该机制使得Web服务创建者和维护者可以更底层更灵活地保障Web服务访问安全。     

一种Web软件安全漏洞分类方法

研究了环境错误与状态错误引发Web应用软件安全问题的途径,在此基础上提出了一种用于进行Web应用软件安全漏洞分类的层次分析模型。使用该模型对CVE漏洞数据库中抽取的Web软件安全漏洞进行了分类,并与使用EAI模型分类的结果做了对比。评估结果表明,该模型具备良好的漏洞分类能力,适用于指导Web应用软件的安全测试和安全防御工作。     

Web服务的安全机制研究

Web服务的广泛应用,对其安全上的要求日益强烈。在讨论WS—Security的基础上．提出了Web服务安全架构;进一步分析了XML签名和XML加密技术等安全方法,并对XML签名和XML加密技术进行安全评价对比;评估了XML签名和XML加密对Web服务安全的重要性。     

从全生命周期构建安全的Web应用

本文从Web应用现状及威胁分析入手,阐明Web应用目前面临的挑战。通过对绿盟远程安全评估系统的功能特性介绍,详细描述如何利用该系统协助政企机构制定全生命周期的Web应用安全解决方案,为Web应用保驾护航。     

Web 服务安全风险评估及其辅助工具设计

在对Web服务安全、信息安全风险评估进行深入研究的基础上,提出了符合Web服务安全特点的风险评估流程与算法,并介绍了Web服务安全风险评估辅助工具的设讦与实现。实验证明,评估结果给用户下一步的风险管理工作提供了科学高效的依据。     

Web应用安全的集成风险评估方法

针对Web应用的安全风险,提出模糊综合评价与信息熵相结合的集成风险评估方法。对于Web应用的技术维度,采用层次分析法确定评估指标的权重;为更好地反映安全漏洞的潜在风险,在多级模糊评价的过程中引入峰值评判的准则。对于Web应用的管理维度,采用信息熵挖掘评估指标的权重和专家意见的权重,获取专家群体的一致性评判意见。通过应用实例证明了评估方法的可行性和有效性。该集成评估方法吸收了当前网络安全众测的理念,体现了网络安全等级保护和信息安全体系建设的要求,有利于组织快速评估Web应用安全风险并进行持续的改进。     

浏览器WEB安全威胁检测技术研究与实现

WEB浏览器是一种常见的客户端应用程序,是用户与网络交互的最主要平台之一,WEB应用已经广泛应用到新闻资讯、电子商务、社交网络等多个领域,然而由于WEB应用程序功能性和交互性的不断增强,对应的WEB漏洞和恶意攻击层出不穷,现有的WEB安全措施主要集中于服务端,然而客户端的安全机制相对比较薄弱,因此,对于如何保证WEB应用的安全己成为安全界广泛关注的重点。本文主要研究浏览器端的WEB安全威胁检测技术与实现。     

高职院校计算机网络安全研究与分析

本文就高职计算机网络安全问题进行了深入的研究与分析,对各种问题提出了相应解决方案,重点阐述了网络安全技术中最主要的技术数据库安全,WEB和FTP服务器安全。     

WEB应用程序的安全维护

介绍了WEB应用程序的安全概念 ,论述了如何通过验证用户ID和控制对应用程序资源的访问来维护应用程序的安全 ,并从操作系统级、WEB服务器级、数据库级以及WEB应用程序级各个层次上阐述了维护微软ASP应用程序的安全技术。     

基于静态分析的Java源代码后门检测技术研究

Web工程中存在的后门给网站安全带来极大风险,针对日益猖獗的后门攻击,文章提出了一种基于静态分析的后门检测技术,该技术通过分析源代码,可以检测出Java语言Web工程中存在的主要后门漏洞,并结合流分析及关键数据传播分析,给出漏洞的完整攻击路径。     

WEB编程中脚本漏洞的分析与防范

网络安全是每一个计算机用户和WEB程序员必须面对的问题,本文针对WEB编程中存在的几个典型脚本漏洞进行了实例分析,并给出适当的防范措施,期望引起WEB程序员对网络安全的重视。     

基于XML的WEB自动服务安全模型设计与实现

根据WEB服务消息安全、加密、签名和访问控制之间的相互关系,结合安全性需求设计了一个由基于椭圆曲线密码的模块,加密模块和数字签名模块组成的WEB自动化服务安全模型,并对其中的模块在平台上进行了实现,此模型具有较高的安全性和可扩展性。     

HTML5带来的WEB应用变革及安全问题研究

HTML5是互联网语言HTML的最新标准,它的许多新特性和新功能,让开发人员能够很容易地创建强大的WEB应用程序,使WEB应用发生一系列的变革,同时它也带来了一些新的安全隐患。分析了HTML5使WEB应用在多媒体处理、互动性、虚拟与现实的融合、方便开发与使用等方面发生的变革,研究了它的新元素、本地存储、跨域请求和地理定位等功能存在的安全问题,并从WEB应用开发者与使用者两方面提出了防范风险应对措施,以保障WEB应用的安全。     

基于电子商务环境下Web数据库技术的研究

随着网络技术的不断发展,人们的生活节奏和工作方式也发生了翻天覆地的变化,电子商务已经成为人们生活中必不可少的一部分,为当今世界的经济发展做出了巨大的贡献。电子商务要真正地走入人们的生活,其中电子商务的安全要得到充分的保证,而Web数据库是整个电子商务的核心,维护数据库安全即是保证电子商务系统的安全。本文从分析电子商务和网络数据库入手,其次对常见电子商务网站进行描述,最后对数据库的安全控制技术进行详细的分析,从而保证电子商务网站的数据在网络传输过程中的安全可靠,Web数据库的安全技术研究是当前IT界研究的重点和热点。     

Hash和存储过程在分布式数字认证中的应用

随着网络技术发展和分布式应用程序的广泛应用,如何构建安全的分布式Web应用程序是信息安全中的一项重要内容。安全登录认证凭据的处理是分布式WEB应用程序安全的基础,为提高基于.NET的分布式应用程序的安全性,文章分析了.NET中哈希加密算法的结构,提出了利用HASH加密算法,通过ADO.NET和SQLServer数据库中的存储过程调用,实现用户登录凭据的处理,保证了WEB应用程序的安全。     

脆弱型文本数字水印在WEB认证中的应用

WEB认证中最常运用的是Cookie技术。通过对Cookie机制的研究，给出了一种使用脆弱型文本数字水印对Cookie机制改进的方法。该方法采用LSB算法实现。