基于服务器端的XSS攻击防御

随着Web服务的日益盛行,web安全显得越来越重要,根据owasp最新统计,XSS(Cross-Site Scripting)攻击是位于当前攻击榜首的第三名,这显示了XSS攻击日益猖獗。因此研究XSS防御显得尤为重要,它能有效的阻止XSS攻击,在一定程度上保证web服务的安全。本文深入研究了XSS攻击原理,并提出了XSS攻击防御策略,最后实现了XSS漏洞检测工具,该工具能有效的检测web应用中存在的XSS漏洞,实验结果表明提出的防御策略效果明显。     

SQL注入攻击及其防范技术研究

SQL注入是Web系统中经常存在的一种漏洞,攻击者利用这种漏洞将恶意的SQL语句注入到后台数据库,并直接执行数据库操作,从而对系统安全造成很大隐患。本文分析了SQL注入攻击的原理、攻击的特点以及实现的过程,并从多个角度提出了相应的攻击检测和防范方法。     

一种基于网络爬虫的跨站脚本漏洞检测方法

跨站脚本(Cross Site Scripting,简称XSS)是Web应用程序中常见的一种安全漏洞,它允许恶意的Web用户将代码植入到提供给其他用户使用的页面中,从而进行XSS攻击。在分析XSS存在形式、攻击过程和攻击原理的基础上,提出了一种基于网络爬虫的XSS漏洞检测方法,通过实验验证了其有效性。     

基于模糊测试和遗传算法的XSS漏洞挖掘

为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。     

Web应用存储型XSS漏洞检测方法及实现

跨站脚本XSS(Cross Site Scripting)漏洞,已对大多数网站产生严重威胁。其中存储型XSS漏洞对用户及网站的损害尤为巨大。事先使用漏洞扫描工具对该漏洞进行检测并修补,可以有效预防和减轻该漏洞被利用后导致的一系列危害。分析存储型XSS漏洞的攻击原理,提出用巴科斯范式(BNF)自动生成初始攻击向量,对初始攻击向量进行变异处理。使用辅助标记自动检测存储型XSS漏洞的动态检测方法,设计并实现存储型XSS漏洞检测系统。在现实Web应用中测试评估了该系统,实验证明它能有效检测出应用中存在的存储型XSS漏洞。     

跨站脚本攻击实践及防范

本文对严重影响Web安全的XSS漏洞进行了概述,剖析了其产生的原因,对其攻击的类型和攻击的方式进行了说明和验证,并且针对XSS漏洞的攻击提出了一些有效的防范措施。     

试析跨站脚本攻击的防御方法

随着互联网在人们生活的各个方面变得无所不在,网络应用程序的日益增加,如银行、购物、邮件服务、新闻更新等日常服务.但是大多数这些应用程序都有安全漏洞,如:跨站脚本(XSS)、跨站点请求伪造(CSRF)、SQL注入,这些漏洞可能被黑客用于恶意目的.因此,在这些应用程序上线之前需要识别并避免这些漏洞被恶意利用.重点介绍了可用于缓解跨站点脚本(XSS)和跨站点请求伪造(CSRF)漏洞攻击的各种安全工具和预防方法.     

Web应用程序常见漏洞研究

本文主要介绍了Web应用程序的概念及漏洞的危害,并对Web应用程序的常见漏洞进行了深入分析,主要研究了SQL注入漏洞和XSS漏洞的成因及攻击过程。     

Stored-XSS漏洞检测的研究与设计

跨站脚本XSS(Cross Site Scripting)漏洞已经成为了大多数网站共同面对的Web安全问题,对XSS漏洞的有效预防检测有利于提高Web安全。分析XSS漏洞的攻击原理,指出现有动态分析方法在检测存储型XSS漏洞方面的不足,提出一种有效的存储型漏洞动态检测方法。设计并实现了Stored-XSS漏洞动态检测模型,并在实际的场景下对该模型进行了测试评估,实验证明提出的方法能对存储型XSS漏洞进行有效检测。     

防御代码注入式攻击的字面值污染方法

当前几乎所有的Web应用程序都面临着诸如跨站脚本(XSS)和SQL注入等代码注入式攻击的威胁,这种威胁源自于程序对用户输入缺乏验证和过滤,导致恶意输入可作为数据库查询或页面中的脚本而执行,从而破坏网站的数据完整性,泄露用户隐私.为了增强应用程序对此类攻击的抵抗性,提出一种针对Web程序的字面值污染方法,该方法能够对代码注入式攻击给予高效的防御且十分易于部署.此方案通过强化服务器端脚本配合可自定义的安全过滤策略,达到对此类攻击的完全免疫.尽管需要对Web应用程序进行插桩等修改,但该过程是完全自动化和正确的,在处理大规模的程序时具有很强的实用价值.通过实现该技术的原型系统PHPHard对若干PHP应用程序的初步实验,可以发现该方法能够移除恶意脚本,成功阻止跨站脚本的攻击.与传统方法相比,它在精确度和有效性上具有优势,且仅引入了很小的开销.     

计算机网络安全中漏洞扫描技术的研究

计算机通常连接到网络以满足更多用户需求.但是,网络环境中的信息流更加复杂,并且存在许多安全风险.如果计算机网络安全出现漏洞,被人恶意侵入计算机,将会给用户带来巨大的损失.计算机网络安全威胁通常是指通过计算机中的安全漏洞渗透到计算机系统中的恶意软件攻击.漏洞扫描技术可以有效防止网络恶意攻击计算机网络的安全技术,对于计算机网络安全具有非常重要的意义.     

防范XSS攻击的研究综述

跨站脚本(XSS)漏洞是近年来报道最多的一种Web应用程序安全漏洞.目前对其防范研究工作还比较少.本文主要针对防范XSS攻击的研究工作进行综述,包括分析和比较目前各种防范XSS攻击的措施,并指出各种防范措施的优缺点,最后提出一种防范XSS攻击的架构.     

如何防止网站被入侵

准确的说应该是防范,而不是防止,现如今网络发达,脚本小子成群,一不小心网站就被入侵了。今天就SQL注入、XSS给大家讲解一下。首先我们知道SQL注入漏洞形成的原因,SQL注入攻击就其本质     

基于爬虫的XSS漏洞检测工具设计与实现

通过对XSS漏洞的研究,剖析其产生、利用的方式,在此基础上针对XSS漏洞的检测机制进行进一步的分析和完善。结合网络爬虫的技术,研究设计并实现了一款XSS漏洞的检测工具（XSS-Scan）,并与当前比较流行的一些软件做了分析比较,证明利用该工具可以对Web网站进行安全审计,检测其是否存在XSS漏洞。     

基于动态测试的XSS漏洞检测方法研究

XSS(Cross-site Scripting)漏洞是Web应用程序最严重的漏洞之一。针对现有动态检测方法在检测效率方面的不足,提出一种高效率的检测方法。在用攻击向量来测试之前,先提交合法向量来测试,排除肯定不存在XSS漏洞的页面以及收集输入点、输出点、输出点类型的信息。在用攻击向量测试的过程中,只需要根据输出点类型来提交相应的攻击向量作进一步测试,避免遍历所有的攻击向量。另外,只需要到对应的输出点页面寻找特定的数据,可以有效避免遍历所有的页面。实验证明,该方法在提高效率方面很有效。     

跨站脚本攻击的研究与防范

随着网络安全问题越来越突出,利用XSS(跨站脚本攻击)进行网络攻击的现象越来越多.通过对XSS漏洞,介绍了XSS脚本攻击的类型,分别在利用HttpOnly和完善的输入与输出检查,两个方面论述了一些相应防范方法.     

标准模型下基于格的身份代理部分盲签名方案

基于格的身份代理盲签名被广泛用于电子商务、电子政务以及软件安全等领域.针对基于格的代理盲签名中存在的主密钥泄露、恶意用户攻击、签名伪造等问题,文章提出一种标准模型下基于格的身份代理部分盲签名方案.该方案采用矩阵级联技术构造签名公钥,解决了已有方案中的主密钥泄露问题;采用部分盲签名技术解决了全盲签名方案中恶意用户攻击问题...     

一种注入攻击的自动防御系统

注入攻击是当前最流行的攻击手段之一,它通过向web服务器提交恶意的数据来达到入侵的目的。文章分析了注入攻击防范的现状,提出了一种注入攻击的自动防御系统。描述了系统的结构,设计了混合分析器来全面检测Web站点的注入漏洞,引入了安全网关来实时净化恶意注入数据。实验表明,系统能针对Web站点的注人漏洞进行有效防护,降低了负载和误报,提高了传输性能。